Especificaciones actuales de OAuth 1.0: ¿cómo aborda el ataque de fijación de sesión?

StackOverflow https://stackoverflow.com/questions/6016914

  •  14-11-2019
  •  | 
  •  

Pregunta

Implementé un proveedor OAuth 1.0 siguiendo esta especificación, que debería ser el último.La especificación fue modificada para abordar la Ataque de fijación de sesión que fue identificado en 2009..La cuestión es que, aparte de tener que diferenciar las dos especificaciones, no estoy seguro de qué medidas se agregaron/cambiaron en la especificación en respuesta al problema.

Desde que implementé la especificación "correcta", me resulta difícil explicar a las partes interesadas qué medidas he tomado para mejorar los riesgos.

¿Alguien quiere arrojarme algo de luz sobre el tema?

¿Fue útil?

Solución

1.0A aborda un ataque muy específico descrito aquí:

http://hueniverse.com/2009/04/ Explicación: la sesión-oauth-Session-Fixation-Attack /

Otros consejos

  1. El oauth_callback El parámetro ahora es obligatorio en el paso de generación del token de solicitud.El oauth_callback_accepted El parámetro de respuesta indicó que se está utilizando OAuth 1.0a.
  2. El oauth_verifier El parámetro es generado por el proveedor de servicios durante la fase de autenticación/consentimiento.
  3. El oauth_verifier debe enviarse en el paso de generación del token de acceso.

Ver http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs para más detalles.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top