El "ataque de fijación de sesión" de abril de 2009 se describe aquí: enlace y con más detalles aquí: enlace
La seguridad significa diferentes cosas desde diferentes perspectivas. Mientras sigo repitiendo en este sitio, todo depende de su modelo de amenaza. Los proveedores de aplicaciones tienen un modelo de amenaza diferente al de los usuarios, que es diferente al de la RIAA.
Hay un movimiento entre algunos usuarios de OAuth 2.0 de firmas criptográficas a un modelo "wrap": "tokens de portador envueltos con TLS" (como cookies). El editor de la especificación habla de sus preocupaciones con respecto a los escenarios de descubrimiento interoperables: enlace En el Borrador 11 de la especificación OAuth 2.0, la opción para las firmas está de nuevo. La especificación del token del portador se mueve a una especificación complementaria, y también hay especificaciones complementarias para las firmas a través de SAML y Kerberos . Tal vez haya otros (como el esquema OAuth 1.0). Vea la decisión y el pensamiento en enlace
Vea también otro comentario anterior: enlace
Aquí hay otra discusión sobre cómo puede causar problemas al tratar con las diferentes perspectivas de seguridad.
enlace