Aktuelle OAuth 1.0-Spezifikation – wie geht sie mit dem Sitzungsfixierungsangriff um?

Question

Ich habe folgenden OAuth 1.0-Anbieter implementiert dieser Spezifikation, was das Neueste sein sollte.Die Spezifikation wurde geändert, um Folgendes zu berücksichtigen Sitzungsfixierungsangriff, der 2009 identifiziert wurde.Abgesehen davon, dass ich die beiden Spezifikationen unterscheiden muss, bin ich mir nicht sicher, welche Maßnahmen in der Spezifikation als Reaktion auf das Problem hinzugefügt/geändert wurden.

Da ich die „richtige“ Spezifikation implementiert habe, fällt es mir schwer, den Stakeholdern zu erklären, welche Maßnahmen ich ergriffen habe, um die Risiken zu mindern.

Möchte jemand für mich etwas Licht in das Problem bringen?

Answer 1

1.0a adressiert einen sehr spezifischen Angriff hier:

http://hueniverse.com/2009/04/ Erläuterung-der OAuth-Session-Fixation-Angriff /

Answer 2

1. Der oauth_callback Der Parameter ist jetzt im Schritt zur Generierung des Anforderungstokens erforderlich.Der oauth_callback_accepted Der Antwortparameter zeigt an, dass OAuth 1.0a verwendet wird.
2. Der oauth_verifier Der Parameter wird vom Dienstanbieter während der Authentifizierungs-/Zustimmungsphase generiert.
3. Der oauth_verifier muss beim Generierungsschritt des Zugriffstokens gesendet werden.

Sehen http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs für mehr Details.