Spécifique OAuth 1.0 actuel - Comment traite-t-il de l'attaque de fixation de session?
-
14-11-2019 - |
Question
J'ai mis en œuvre un fournisseur OAuth 1.0 après Cette spécification, ce qui devrait être le dernier. La spécification a été modifiée pour aborder le Attaque de fixation de session qui a été identifiée en 2009. Le fait est de devoir diffuser les deux spécifications, je ne sais pas quelles mesures ont été ajoutées / modifiées dans la spécification en réponse au problème.
Depuis que j'ai mis en œuvre la "bonne" spécification, j'ai du mal à expliquer aux parties prenantes quelles mesures que j'ai prises pour améliorer les risques.
Quelqu'un veut-il faire la lumière sur le problème pour moi?
La solution
1.0A aborde une attaque très spécifique décrite ici:
http://hueniverse.com/2009/04/Explaining-the-oauth-Session-Fixation-Attack/
Autres conseils
- La
oauth_callback
Le paramètre est maintenant requis dans l'étape de génération de jeton de demande. Laoauth_callback_accepted
Le paramètre de réponse indiqué que OAuth 1.0a est utilisé. - La
oauth_verifier
Le paramètre est généré par le fournisseur de services pendant la phase d'authentification / consentement. - La
oauth_verifier
Doit être envoyé à l'étape de génération d'accès à jeton.
Voir http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20urls pour plus de détails.