Las páginas de inicio de sesión de Oauth alojadas en la aplicación: ¿qué detiene la falsificación?

0

He estado pensando en el inicio de sesión de Oauth, que funciona de maravilla para los sitios web en general.

Sin embargo, estos tipos de inicio de sesión son cada vez más frecuentes en aplicaciones, tanto de escritorio como móviles. En estas situaciones, a menudo, la página de desafío del tercero se muestra en una ventana de la aplicación, no en un navegador.

En estos casos, la aplicación de alojamiento definitivamente podría falsificar la página de desafío de terceros para robar las credenciales de los usuarios.

¿Existen prácticas o sistemas recomendados para prevenir esto?

    
pregunta Ian Newson 14.10.2018 - 22:55
fuente

2 respuestas

2

Hay una RFC que se dirige específicamente a oauth2 en aplicaciones nativas: enlace

Indica que la aplicación utiliza el navegador del sistema operativo (Safari / Chrome) en lugar de mostrar la ventana de inicio de sesión en una vista web o manejar las credenciales de la aplicación.

Pero en este sentido, su objetivo principal es entrenar al usuario en el aspecto de un inicio de sesión, en lugar de proporcionar controles específicos para evitar que la aplicación se comporte mal.

    
respondido por el Geir Emblemsvag 15.10.2018 - 06:14
fuente
0

Normalmente, en la aplicación de escritorio o móvil, si ya ha iniciado sesión y tiene una sesión, no se le pedirá una contraseña, solo tiene que seleccionar una cuenta / usuario. Esto normalmente ocurre con el inicio de sesión social como Facebook y Google.

En los sitios web de escritorio, la nueva ventana aún muestra la URL que intenta conectarse, solo debes tener cuidado y ver si no tienes una sesión (ya iniciada sesión, como Google / Facebook).

Hay algunos casos como la aplicación OSX Mail, que integran la autenticación de Google directamente en su aplicación, sin una forma de confirmar que realmente se trata de una página de Google y no de una página maliciosa. En estos casos, la única forma es confiar en la aplicación.

Si tiene una contraseña única para cada inicio de sesión social, tener autenticación 2FA puede poner una barrera muy fuerte en caso de que escriba su contraseña en un sitio web / aplicación malintencionada.

    
respondido por el David Magalhães 15.10.2018 - 01:06
fuente

Lea otras preguntas en las etiquetas