¿Puede Facebook iniciar sesión en mi aplicación?

Question

¿Puede Facebook iniciar sesión en mi aplicación?

#1 de Xander (2 votos)

1

Esto puede parecer una pregunta estúpida, pero me pregunto si esto es teóricamente posible.

Digamos que estoy usando el inicio de sesión de Facebook en mi aplicación. Si el inicio de sesión se realiza correctamente, obtengo un token de OAuth de Facebook para realizar solicitudes de API. Ahora Facebook también tiene este token y podría usarlo para iniciar sesión en mi aplicación y obtener todos los datos dentro de esta aplicación. No estoy seguro de si esto es posible, pero esto podría ser un problema de seguridad.

¡Muchas gracias!

authentication oauth facebook

pregunta user1463853 19.10.2014 - 11:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication oauth facebook

Base de datos compartida y conformidad con PCI Tráfico TCP extraño en Mac OS X desde 'rdmd'

score 2 · Accepted Answer

Para abordar específicamente el escenario, Facebook no necesita esperar hasta que un usuario inicie sesión para capturar un token de OAuth. Ya que confía en Facebook como su proveedor de autenticación, pueden generar un token OAuth válido para cualquier usuario en su sistema cuando lo deseen.

Dado que, hay tres respuestas potencialmente correctas aquí.

Esto no es una amenaza, porque está fuera de su modelo de amenaza, o es un riesgo insignificante. En la mayoría de los casos, esta será la respuesta correcta. Está fuera de su modelo de amenaza, porque asume que Facebook está autentificando correctamente a las personas y si obtiene un token de OAuth de ellos, es para el usuario autenticado para el que dicen que es. Es un riesgo insignificante porque es poco probable que Facebook se preocupe por los datos de su aplicación, y es poco probable que incluso si lo hacen, estén dispuestos a abusar de un sistema en el que hayan gastado una gran cantidad de dinero para construir y operar, y eso es popular solo porque es de confianza. Eso derrotaría su objetivo más grande y más valioso de tener sus dedos en cada rincón de la web.
Es una amenaza y puede mitigarse con un segundo factor de autenticación. Si este es un riesgo suficientemente grave para su aplicación por cualquier razón, puede mitigarla para los usuarios existentes de su aplicación al requerir un segundo factor de autenticación sobre el que Facebook no tiene control, de modo que no confíe únicamente en OAuth simbólico.
Si es una amenaza seria, no uses Facebook OAuth en absoluto. Si realmente no confías en ellos, entonces no uses su sistema. Simple como eso. Si los datos de su aplicación son tan confidenciales que justifican que se requieran usos para crear un nuevo conjunto de credenciales, haga que lo hagan.

Dicho todo esto, la gran mayoría de los casos caerán en el escenario 1. Primero, cuando elige usar OAuth de Facebook, lo hace para no tener que preocuparse por la autenticación. y las amenazas a la autenticación (en su mayor parte) se vuelven externas. Además, la idea de que Facebook abusaría del sistema para dañarlo a usted o a sus usuarios es más una trama ficticia que una amenaza real, y la probabilidad real de que eso ocurra es generalmente insignificante y no vale la pena el costo, el esfuerzo y la complejidad de mitigar .