Spécifique OAuth 1.0 actuel - Comment traite-t-il de l'attaque de fixation de session?

Question

J'ai mis en œuvre un fournisseur OAuth 1.0 après Cette spécification, ce qui devrait être le dernier. La spécification a été modifiée pour aborder le Attaque de fixation de session qui a été identifiée en 2009. Le fait est de devoir diffuser les deux spécifications, je ne sais pas quelles mesures ont été ajoutées / modifiées dans la spécification en réponse au problème.

Depuis que j'ai mis en œuvre la "bonne" spécification, j'ai du mal à expliquer aux parties prenantes quelles mesures que j'ai prises pour améliorer les risques.

Quelqu'un veut-il faire la lumière sur le problème pour moi?

Answer 1

1.0A aborde une attaque très spécifique décrite ici:

http://hueniverse.com/2009/04/Explaining-the-oauth-Session-Fixation-Attack/

Answer 2

1. La oauth_callback Le paramètre est maintenant requis dans l'étape de génération de jeton de demande. La oauth_callback_accepted Le paramètre de réponse indiqué que OAuth 1.0a est utilisé.
2. La oauth_verifier Le paramètre est généré par le fournisseur de services pendant la phase d'authentification / consentement.
3. La oauth_verifier Doit être envoyé à l'étape de génération d'accès à jeton.

Voir http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20urls pour plus de détails.