¿El cambio de mi contraseña después del inicio de sesión de OAuth en la aplicación móvil ayuda a reducir el riesgo?

Question

¿El cambio de mi contraseña después del inicio de sesión de OAuth en la aplicación móvil ayuda a reducir el riesgo?

#1 de KDEx (1 votos)
#2 de Jatin Nagpal (1 votos)

4

Cuando usa una aplicación móvil que necesita un inicio de sesión de Google OAuth, no puede confiar completamente en la aplicación de terceros porque no puede saber qué URL está usando la vista web. Quién sabe si no están almacenando mi nombre de usuario y contraseña en su servidor y luego pasándolos a Google OAuth.

¿Cambiar la contraseña inmediatamente después del inicio de sesión de OAuth ayuda a reducir el riesgo? Si lo comprendo correctamente, el tercero aún tendrá su token de acceso limitado a la API, pero al menos no la contraseña maestra de mi cuenta de Google (incluso si la están almacenando de manera incorrecta).

En una nota relacionada: en Android, no tuve que volver a iniciar sesión en OAuth para una aplicación de terceros, solo podía seleccionar la cuenta de Google que ya estaba registrada en el teléfono. Pero en iOS, las aplicaciones de terceros que utilicé requerían un inicio de sesión de Google OAuth a través de la vista web. ¿Es posible que las aplicaciones de iOS tengan el OAuth "integrado" sin iniciar sesión?

oauth android ios

pregunta wisbucky 20.01.2015 - 17:54

fuente

2 respuestas

Lea otras preguntas en las etiquetas oauth android ios

Probar la vulnerabilidad de inyección de SQL SMS Spoofing no disponible en kali

score 1 · Answer 1

No. Cuando una aplicación utiliza y de las API de identidad de Google (para incluir OAuth y < a href="https://developers.google.com/+/web/signin/"> Google+ Iniciar sesión ) la aplicación recibe un token de Google que indica que eres tú. Entonces la aplicación te registra.

UnodelosprincipalesbeneficiosdedescargarlaadministracióndecontraseñasaGoogleesquelaaplicaciónnotienequealmacenarsucontraseña(observequeenningúnpuntodeldiagramaanteriorlaaplicaciónrecibesucontraseña).

Sidecidenopermitirelaccesodeunaaplicaciónasuperfil,simplementepuede revocar el acceso y el token es invalidado

En general, con todos los métodos de administración de ID, la aplicación puede obtener información básica sobre usted. Aquí hay una fuente sobre lo que la aplicación puede solicitar para el inicio de sesión en Google+.

score 1 · Answer 2

No, no puedes hacer eso legalmente. Si quiere estar seguro, puede usar un analizador de paquetes como Wireshark. O también puede usar la herramienta Anti-virus / Privacidad o los detectores de Phishing. Puedes consultar el código de aplicación. Por fin, también puede apagar su Internet para ver el mensaje de error y confirmar qué enlace no se pudo cargar (o si se carga sin errores, eso puede ser un problema. Tal vez caché, así que intente nuevamente después de restablecer los datos)

Eso es todo lo que sé por ahora. Tal vez haya más, como las aplicaciones especializadas para comprobar que sus paquetes van al lugar correcto o algo más. Siempre vienen cosas nuevas.