¿Por qué Oauth2 redirect_uri puede ser un URI no https?

Navega tus respuestas
1

Estoy creando un sitio pequeño que me gustaría integrar con LinkedIn para la autenticación. LinkedIn dice que redirect_uri puede ser http: // o https: // (no tener que pagar por un certificado es realmente increíble en este momento)

Al revisar la especificación de OAuth2, no puedo comprender la posibilidad de intercambiar un token a través de texto sin formato por no ser propenso a las vulnerabilidades. Sé que esta es una pregunta básica, ya que soy bastante nuevo en el mundo criptográfico. Y, por supuesto, sé que ya se ha abordado una vulnerabilidad tan obvia (si existe).

La pregunta es: ¿cómo? ¿Cómo se relaciona la especificación con el token que se envía al agente de usuario en texto sin formato y se redirige al cliente de una manera potencialmente no segura?

    
pregunta Augusto G 15.08.2014 - 00:30
fuente

1 respuesta

1

La respuesta es bastante sencilla: no lo hace. Si el token se envía a través de texto claro, entonces usted es hosed. La especificación no proporciona mitigaciones para los problemas de seguridad que surgen al no seguir las recomendaciones de la especificación.

Como alternativa, existe cierto alivio en el uso del flujo de código porque, en cambio, está pasando un tipo de orden (el 'código') sobre texto claro. Debe intercambiar el código por un token adecuado a través de un servicio de backchannel, que debe estar sobre SSL. De esta manera, el token se solicita a través de un canal seguro.

    
respondido por el Steve 15.08.2014 - 00:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo transferir de forma segura un archivo entre servidores? Varias instancias de “rundll32.exe mhunk.dme”. ¿Mi PC está infectada con algo?