¿Cuáles fueron las fallas de seguridad específicas con OAuth 1.0? ¿Cómo se están abordando en 2.0?

8

Leí un artículo que documenta a Twitter abruptamente retirando su soporte de OAuth en abril de 2009. El artículo dijo que no especificaría el agujero por razones de seguridad, pero que se menciona la "ingeniería social".

Supongo que el agujero es que un sitio malicioso puede fingir que está usando OAuth y redirigir al usuario a un sitio de phishing destinado a imitar a Twitter en un intento de obtener su nombre de usuario y contraseña. ¿Esto es correcto?

Además, cualquiera sea la falla, ¿cómo se está abordando en 2.0?

    
pregunta eskerber 16.12.2010 - 16:21
fuente

1 respuesta

9

El "ataque de fijación de sesión" de abril de 2009 se describe aquí: enlace y con más detalles aquí: enlace

La seguridad significa diferentes cosas desde diferentes perspectivas. Mientras sigo repitiendo en este sitio, todo depende de su modelo de amenaza. Los proveedores de aplicaciones tienen un modelo de amenaza diferente al de los usuarios, que es diferente al de la RIAA.

Hay un movimiento entre algunos usuarios de OAuth 2.0 de firmas criptográficas a un modelo "wrap": "tokens de portador envueltos con TLS" (como cookies). El editor de la especificación habla de sus preocupaciones con respecto a los escenarios de descubrimiento interoperables: enlace En el Borrador 11 de la especificación OAuth 2.0, la opción para las firmas está de nuevo. La especificación del token del portador se mueve a una especificación complementaria, y también hay especificaciones complementarias para las firmas a través de SAML y Kerberos . Tal vez haya otros (como el esquema OAuth 1.0). Vea la decisión y el pensamiento en enlace

Vea también otro comentario anterior: enlace

Aquí hay otra discusión sobre cómo puede causar problemas al tratar con las diferentes perspectivas de seguridad.

enlace

    
respondido por el nealmcb 17.12.2010 - 05:15
fuente

Lea otras preguntas en las etiquetas