¿Qué tan perjudicial es exponer el token de acceso al propietario del recurso?

Navega tus respuestas
2

Al verificar la implementación de facebook php sdk, noté que exponen el token de acceso al propietario del recurso (usuario) 

$params = array(
  'next' => $next,
  'access_token' => $session->getToken()
);
return 'https://www.facebook.com/logout.php?' . http_build_query($params, null, '&');

¿Qué tan dañino se considera que es? No puedo explicarlo, pero simplemente no se ve bien.

En caso de que no sea "la mejor práctica", ¿cómo se implementaría un cierre de sesión utilizando un flujo de v2 o en su lugar?

He investigado un poco la especificación y eso es lo que he encontrado:

  

No pase tokens de portador en las URL de página: tokens de portador NO DEBEN ser         pasado en las URL de la página (por ejemplo, como parámetros de cadena de consulta).

enlace

    
pregunta zerkms 11.05.2015 - 13:06
fuente

1 respuesta

2

Es cierto que los tokens de portador y los tokens de sesión no se deben pasar por la url. Las razones son (según OWASP ):

  

puede revelar el ID de la sesión (en los enlaces y registros web, el historial del navegador web y los marcadores, el encabezado del Referer o los motores de búsqueda)

En este caso específico, creo que a Facebook no le importó, ya que el uso es el cierre de sesión, por lo que una vez que se ha llamado el token ya no se puede utilizar de ninguna manera, por lo que no hay problema si se filtra.     

respondido por el aviv 11.05.2015 - 14:11
fuente

Lea otras preguntas en las etiquetas

Lista de software actualizable y vulnerable a ataques MitM ¿De qué depende la longitud de la clave pública pgp?