¿Por qué las versiones integradas ("superposición", "incrustar") del bloqueo auth0 se consideran seguras?

3

Si se desplaza hacia abajo en enlace hacia los modos, mostrará múltiples modos: "superposición", "incrustar", "alojado" y "listo para móviles". Se me permite incrustar el inicio de sesión de auth0 para aparecer en mi sitio (sin redirigir a su sitio que aloja su servicio de inicio de sesión).

Los ladrones pueden falsificar fácilmente el diseño del inicio de sesión, ¿no es así? Pensé que los usuarios finales solo podían estar seguros de que sus credenciales no son robadas ingresándolas en un sitio falso si el usuario final puede comparar la url del sitio actual con el sitio en el que se encuentra su cuenta / el servicio que quería bloquear con. ¿Por qué auth0 todavía me ofrece incrustar su inicio de sesión en mi sitio?

Quiero decir que hay algunos sitios en Internet en los que confiaría para no robar sus credenciales de auth0 (o cualquier otro servicio de inicio de sesión proporcionado por auth0), pero se lo ofrecen a todos.

    
pregunta EmailDE 17.11.2016 - 20:22
fuente

2 respuestas

2
  

¿Por qué auth0 todavía me ofrece incrustar su inicio de sesión en mi sitio?

El sistema de autenticación que ofrece auth0 no ofrece a los usuarios ingresar sus "credenciales de cliente de auth0". Más bien, las credenciales son únicas para el sitio que incluye el formulario.

Tiene razón en que solo es seguro ingresar sus datos de inicio de sesión en un formulario integrado si confía en la página que lo aloja. Es por eso que las funciones de inicio de sesión social como "Iniciar sesión con Google" siempre lo redirigen a una página de inicio de sesión segura del proveedor de identidad social y nunca deben pedirle que ingrese sus credenciales directamente en la página inicial (posiblemente no confiable).

    
respondido por el Arminius 17.11.2016 - 21:02
fuente
0

Su cliente Auth0 tiene una opción para configurar los orígenes permitidos: esto determina qué orígenes pueden realizar los flujos de concesión de contraseña del propietario del recurso (es decir, la autenticación activa), ya que estos flujos se realizan al realizar una solicitud de origen cruzado a Auth0. De esta manera, un atacante en un origen diferente al del sitio web original no puede falsificar su punto final de inicio de sesión, al menos no directamente, pero podría potencialmente robar las credenciales de sus usuarios simplemente capturándolos de todos modos.

Planeamos implementar la opción para deshabilitar las concesiones de contraseña de propietario de recursos para clientes específicos, pero a partir de hoy es posible restringir estos inicios de sesión mediante una regla:

function (user, context, callback) {
  if (context.protocol === 'oauth2-resource-owner') {
    return callback(
      new UnauthorizedError('The resource owner endpoint cannot be used.'));
  }
  callback(null, user, context);
}

Como señala, la forma más segura de realizar la autenticación es redirigir a los usuarios al proveedor de identidad. Auth0 también admite esto y es nuestra opción recomendada siempre que sea posible.

    
respondido por el Rodrigo López Dato 17.11.2016 - 23:54
fuente

Lea otras preguntas en las etiquetas