Aktuelle OAuth 1.0-Spezifikation – wie geht sie mit dem Sitzungsfixierungsangriff um?
-
14-11-2019 - |
Frage
Ich habe folgenden OAuth 1.0-Anbieter implementiert dieser Spezifikation, was das Neueste sein sollte.Die Spezifikation wurde geändert, um Folgendes zu berücksichtigen Sitzungsfixierungsangriff, der 2009 identifiziert wurde.Abgesehen davon, dass ich die beiden Spezifikationen unterscheiden muss, bin ich mir nicht sicher, welche Maßnahmen in der Spezifikation als Reaktion auf das Problem hinzugefügt/geändert wurden.
Da ich die „richtige“ Spezifikation implementiert habe, fällt es mir schwer, den Stakeholdern zu erklären, welche Maßnahmen ich ergriffen habe, um die Risiken zu mindern.
Möchte jemand für mich etwas Licht in das Problem bringen?
Lösung
1.0a adressiert einen sehr spezifischen Angriff hier:
http://hueniverse.com/2009/04/ Erläuterung-der OAuth-Session-Fixation-Angriff /
Andere Tipps
- Der
oauth_callback
Der Parameter ist jetzt im Schritt zur Generierung des Anforderungstokens erforderlich.Deroauth_callback_accepted
Der Antwortparameter zeigt an, dass OAuth 1.0a verwendet wird. - Der
oauth_verifier
Der Parameter wird vom Dienstanbieter während der Authentifizierungs-/Zustimmungsphase generiert. - Der
oauth_verifier
muss beim Generierungsschritt des Zugriffstokens gesendet werden.
Sehen http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs für mehr Details.