Atual OAuth 1.0 especificação de como endereço a sessão de fixação de ataque?
-
14-11-2019 - |
Pergunta
Eu tenho implementado um OAuth 1.0 provedor seguinte esta especificação, que deverá ser a última.A especificação foi alterado para o endereço sessão de fixação de ataque que foi identificado em 2009.A coisa é, curta de ter para comparar as duas especificações que eu tenho a certeza que medidas foram adicionado/alterado na especificação em resposta para o problema.
Desde que eu implementado o "direito" spec eu estou tendo um tempo difícil explicar para as partes interessadas as medidas que eu tomei para amenizar os riscos.
Alguém se importa lançar alguma luz sobre o problema para mim?
Solução
1.0a endereça um ataque muito específico descrito aqui:
http://hueniverse.com/2009/04/ explicando-o-oauth-session-attack-attack /
Outras dicas
- O
oauth_callback
parâmetro agora é exigido na solicitação de geração de token passo.Ooauth_callback_accepted
resposta do parâmetro indicado OAuth 1.0 um está sendo usado. - O
oauth_verifier
parâmetro é gerado pelo prestador de serviços durante a autenticação/consentimento fase. - O
oauth_verifier
deverá ser enviado o token de acesso de geração de passo.
Ver http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs para obter mais detalhes.