Current OAUTH 1.0 Spec - Come affronta l'attacco di fissaggio della sessione?

StackOverflow https://stackoverflow.com/questions/6016914

  •  14-11-2019
  •  | 
  •  

Domanda

Ho implementato un fornitore OAUTH 1.0 seguente Questa specifica , che dovrebbe essere l'ultima.Le specifiche sono state modificate per affrontare il Attacco di fissaggio della sessione che è stato identificato nel 2009 .La cosa è, a corto di dover differ, le due specifiche che non sono sicure su quali sono state aggiunte misure / modificate nella specifica in risposta al problema.

Dal momento che ho implementato la specifica "giusta" che sto avendo difficoltà a spiegare alle parti interessate quali misure ho adottato per migliorare i rischi.

Qualcuno si occupa di far luce sul problema per me?

È stato utile?

Soluzione

1.0a affronta un attacco molto specifico qui descritto qui:

http://hueniverse.com/2009/04/ Spiegazione-La-OAuth-Session-Fissation-Attack /

Altri suggerimenti

    .
  1. Il parametro oauth_callback è ora richiesto nella fase di generazione del token della richiesta.Il parametro di risposta oauth_callback_accepted indicato è utilizzato OAuth 1.0A.
  2. Il parametro oauth_verifier viene generato dal fornitore di servizi durante la fase di autenticazione / consenso.
  3. Il oauth_verifier deve essere inviato presso il passaggio di generazione del token di accesso.

    Vedi http://wiki.oauth.net/w/page/ 12238555 / firmato% 20Callback% 20urls per maggiori dettagli.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top