botón de inicio de sesión de Google: ¿qué impide que una aplicación fraudulenta robe un token?

3

Estos son los pasos para configurar un botón de inicio de sesión de Google en un cliente web: enlace

Cuando haga clic en el botón de inicio de sesión de Google, aparecerá un mensaje emergente:

Todas las interacciones son entre el IDP (Google) y el navegador del usuario.

¿Hay algo que impida que una aplicación maliciosa copie / modifique el código fuente de la aplicación, falsifique la buena aplicación y robe un token válido del IDP cuando el usuario inicia sesión?

    
pregunta ben 08.09.2018 - 00:22
fuente

1 respuesta

1

Cuando el usuario selecciona una cuenta para iniciar sesión, se le lleva a una página de inicio de sesión (si no ha iniciado sesión actualmente) y luego / o se envía "de vuelta" a la aplicación en cuestión, junto con el token SSO. Digo "atrás" porque el usuario será enviado a la URL que se especificó cuando la aplicación se configuró para SSO. Ese no será el sitio del atacante; el atacante no podrá ver el token de SSO.

Google (u otro IDP) también podría intentar verificar de dónde vino el usuario (verificando el encabezado del Referer) para asegurarse de que no haya otra aplicación web que falsifique el ID del cliente de la aplicación legítima, pero probablemente no sea necesario.

    
respondido por el CBHacking 08.09.2018 - 01:17
fuente

Lea otras preguntas en las etiquetas