Si un sitio dice que su API para el inicio de sesión no puede estar disponible por "razones de seguridad", debería estar preocupado

Question

Si un sitio dice que su API para el inicio de sesión no puede estar disponible por "razones de seguridad", debería estar preocupado

#1 de AJ Henderson (1 votos)

3

La API de Exchange Stack 2.2 finalmente está fuera, (Yay!)

Al leer la publicación del blog vinculado, me doy cuenta de la línea:

Los métodos de inicio de sesión que no utilizan OAuth no pueden hacerse públicos por razones de seguridad.

¿Es esto algo de qué preocuparse?
Parece un poco sospechoso. Suena como seguridad a través de la obsesión.
"Si uno sabe cómo funciona, no puede piratearlo".
O que sus errores son conocidos en los métodos de inicio de sesión (nonOAuth) que los dejan inseguros, y son más explotables a través de la API (pero eso significa que existen, y pueden, con las herramientas adecuadas, ser explotados de todos modos).

authentication oauth

pregunta Lyndon White 11.02.2014 - 05:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication oauth

Hydra da contraseñas incorrectas Control de acceso en una LAN principalmente de ventanas [cerrado]

score 1 · Accepted Answer

Probablemente sea más difícil explotar a través de una página de inicio de sesión falsa. Si fuera posible realizar un inicio de sesión a través de la API, entonces podría realizarse un inicio de sesión falso en otro sitio. OAuth proporciona cierto nivel de protección contra esto debido a cómo se intercambia la información.