Question

Я реализовал поставщика OAuth 1.0, следуя этой спецификации , которая должна быть самой последней. В спецификацию были внесены изменения, направленные на атаку с фиксацией сеанса , которая была выявлена в 2009 . Дело в том, что если не считать различий между двумя спецификациями, я не уверен, какие меры были добавлены / изменены в спецификации в ответ на проблему.

С тех пор, как я применил «правильную» спецификацию, мне трудно объяснить заинтересованным сторонам, какие меры я принял для уменьшения рисков.

Кто-нибудь хочет пролить свет на этот вопрос для меня?

Eran Hammer · Answer 1 · 04 июля 2011

1.0a адресует очень специфическую атаку, описанную здесь:

http://hueniverse.com/2009/04/explaining-the-oauth-session-fixation-attack/

Alex Smolen · Answer 2 · 03 февраля 2016

Параметр oauth_callback теперь требуется на этапе генерации токена запроса. Параметр ответа oauth_callback_accepted указывает, что используется OAuth 1.0a.
Параметр oauth_verifier генерируется поставщиком услуг на этапе аутентификации / согласия.
oauth_verifier необходимо отправить на этапе генерации токена доступа.

Подробнее см. http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs.

Текущая спецификация OAuth 1.0 - как она решает проблему с фиксацией сеанса?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Текущая спецификация OAuth 1.0 - как она решает проблему с фиксацией сеанса?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы