Atual OAuth 1.0 especificação de como endereço a sessão de fixação de ataque?

Question

Eu tenho implementado um OAuth 1.0 provedor seguinte esta especificação, que deverá ser a última.A especificação foi alterado para o endereço sessão de fixação de ataque que foi identificado em 2009.A coisa é, curta de ter para comparar as duas especificações que eu tenho a certeza que medidas foram adicionado/alterado na especificação em resposta para o problema.

Desde que eu implementado o "direito" spec eu estou tendo um tempo difícil explicar para as partes interessadas as medidas que eu tomei para amenizar os riscos.

Alguém se importa lançar alguma luz sobre o problema para mim?

Answer 1

1.0a endereça um ataque muito específico descrito aqui:

http://hueniverse.com/2009/04/ explicando-o-oauth-session-attack-attack /

Answer 2

1. O oauth_callback parâmetro agora é exigido na solicitação de geração de token passo.O oauth_callback_accepted resposta do parâmetro indicado OAuth 1.0 um está sendo usado.
2. O oauth_verifier parâmetro é gerado pelo prestador de serviços durante a autenticação/consentimento fase.
3. O oauth_verifier deverá ser enviado o token de acesso de geração de passo.

Ver http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs para obter mais detalhes.