Current OAUTH 1.0 Spec - Come affronta l'attacco di fissaggio della sessione?
-
14-11-2019 - |
Domanda
Ho implementato un fornitore OAUTH 1.0 seguente Questa specifica , che dovrebbe essere l'ultima.Le specifiche sono state modificate per affrontare il Attacco di fissaggio della sessione che è stato identificato nel 2009 .La cosa è, a corto di dover differ, le due specifiche che non sono sicure su quali sono state aggiunte misure / modificate nella specifica in risposta al problema.
Dal momento che ho implementato la specifica "giusta" che sto avendo difficoltà a spiegare alle parti interessate quali misure ho adottato per migliorare i rischi.
Qualcuno si occupa di far luce sul problema per me?
Soluzione
1.0a affronta un attacco molto specifico qui descritto qui:
http://hueniverse.com/2009/04/ Spiegazione-La-OAuth-Session-Fissation-Attack /
Altri suggerimenti
- .
- Il parametro
oauth_callback
è ora richiesto nella fase di generazione del token della richiesta.Il parametro di rispostaoauth_callback_accepted
indicato è utilizzato OAuth 1.0A. - Il parametro
oauth_verifier
viene generato dal fornitore di servizi durante la fase di autenticazione / consenso. - Il
oauth_verifier
deve essere inviato presso il passaggio di generazione del token di accesso.Vedi http://wiki.oauth.net/w/page/ 12238555 / firmato% 20Callback% 20urls per maggiori dettagli.