Consideraciones al mostrar la salida de OpenID y WS- * para un usuario final

0

Estoy creando un sitio web "Learn OpenID and WS- *" y estoy usando todas las mejores prácticas para hacer que el sitio sea seguro.

Me gustaría crear una página que descifre el token OpenID o WS- * de la sesión actual y lo muestre en una página de diagnóstico especial. ¿Qué debo exponer y no exponer para evitar un ataque de repetición? No me preocupa la divulgación de información.

¿Es suficiente colocarlo en una página HTTPS a la que se accede utilizando solicitudes POST validadas?

Mi intención al hacer esta pregunta es aprender qué tan valiosos son ciertos campos en una respuesta de autenticación dada.

    
pregunta random65537 22.07.2012 - 22:21
fuente

1 respuesta

1

¿Contra qué quiere protegerse cuando muestra el token? Repetir ataque? Divulgación de información? Etc?

si el sitio es simplemente para probar el manejo de tokens, entonces es aceptable mostrar todo el token tal como es porque no deberían usar un token de un sistema de producción.

Si un atacante tiene el token completo, entonces puede volver a jugarlo, lo que les permite suplantar al usuario. También podrían reproducirlo contra otras aplicaciones potencialmente si el token no está cifrado (o si las aplicaciones comparten la misma clave de descifrado). Además, si el token contiene notificaciones con secretos o PII, entonces un atacante podría recopilar esa información.

Habiendo dicho todo eso, el token es inútil para la autenticación si elimina la firma (bueno, suponiendo que la aplicación realmente valida la firma).

EDITAR: si desea mostrar el token completo pero evitar los ataques de repetición, simplemente mantenga una entrada para ese token tomando un hash. WIF es compatible con la memoria caché de token, que está diseñada parcialmente por ese motivo, pero tendría que corregir una implementación personalizada.

    
respondido por el Steve 23.07.2012 - 01:03
fuente

Lea otras preguntas en las etiquetas