¿Hay algún problema de seguridad si envié el token de seguridad, emitido desde un IdP de confianza, a Java?

Question

¿Hay algún problema de seguridad si envié el token de seguridad, emitido desde un IdP de confianza, a Java?

#1 de Philipp (1 votos)

0

¿Hay algún problema si envié el token de identidad, que se ha emitido desde un IdP de confianza, al código javaScript para usarlo en una llamada Ajax a un método web con autenticación?

¿Existe algún problema de seguridad al hacer eso si el token está encriptado o no?

En mi caso, hay una aplicación web que solicita a un IdP que autentique a los usuarios. Estoy usando un servicio web WCF con Ws2007FederationBinding para enviar el token de seguridad. Todo está bien cuando llamo al servicio desde el servidor, pero ahora, ¿cómo puedo consumirlo desde el lado del cliente usando JavaScript también?

authentication federation web-service client-side

pregunta Homam 09.12.2014 - 12:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication federation web-service client-side

Protocolo de autenticación manual público / privado fácil de usar Certificados: ¿qué hay de volver a firmar los certificados de CA intermedios?

score 1 · Answer 1

Veo dos posibles vectores de ataque.

escuchas ilegales
Vulnerabilidades de los scripts de sitios en su aplicación web

Cuando el token no se transmite a través de HTTPS, puede ser interceptado y utilizado por un intruso. Para evitar esto, aplique https para todas las comunicaciones.

Cuando el documento HTML incluye datos de un tercero, debe estar cansado de las inyecciones de XSS. Cuando un atacante puede contrabandear código JavaScript en la página que se ejecuta, puede acceder a cualquier información en cualquier aplicación JavaScript incrustada en ese documento HTML y enviarla a cualquier otro sitio web. Para evitar que esto suceda, asegúrese de que todas sus aplicaciones web desinfecten correctamente las cadenas proporcionadas por el usuario. También puede informar a sus usuarios que su sitio web no tiene funciones ocultas que puedan desbloquearse ingresando algunos códigos crípticos en la consola del desarrollador ( como lo hace Facebook, por ejemplo ).

También ten en cuenta que no puedes evitar que el usuario se entere de su propio token. Cuando necesite proteger el token para que no lo descubra el usuario al que se lo envía, deberá encontrar una solución diferente.