it-swarm-korea.com

OAuth 1.0의 특정 보안 결함은 무엇입니까? 2.0에서는 어떻게 해결됩니까?

나는 2009 년 4 월에 트위터가 갑자기 OAuth 지원을 되 돌리는 것을 문서화 한) article 을 읽었습니다. 기사는 보안상의 이유로 구멍을 지정하지 않을 것이라고 말했지만 "소셜 엔지니어링 "이 관련됩니다.

그 구멍은 악성 사이트가 OAuth를 사용하는 것처럼 가장하여 사용자 이름과 비밀번호를 얻기 위해 트위터를 모방하려는 피싱 사이트로 사용자를 리디렉션 할 수 있다는 것입니다. 이 올바른지?

또한 결함이 무엇이든 2.0에서 어떻게 해결되고 있습니까?

8
eskerber

2009 년 4 월 "세션 고정 공격"은 여기에 설명되어 있습니다. http://oauth.net/advisories/2009-1/ 및 자세한 내용은 여기에서 설명합니다. http://hueniverse.com/2009/04/explaining-the-oauth-session-fixation-attack /

보안은 다른 관점에서 다른 것을 의미합니다. 이 사이트에 대해 계속 반복하면서 모든 것은 위협 모델에 따라 다릅니다. 응용 프로그램 공급자는 사용자와 다른 위협 모델을 가지고 있으며 이는 RIAA와 다릅니다.

일부 OAuth 2.0 사용자가 암호화 서명에서 "랩"모델로 이동하고 있습니다. "TLS로 래핑 된 베어러 토큰"(쿠키와 같은)) 사양 편집자는 그의 우려에 대해 이야기합니다. 상호 운용 가능한 발견 시나리오의 경우 : http://hueniverse.com/2010/09/oauth-2-0-without-signatures-is-bad-for-the-web/ OAuth 2.0 사양 서명 옵션이 다시 들어 왔습니다. 베어러 토큰 사양이 컴패니언 사양으로 이동되었으며 SAML 및 Kerberos를 통한 서명에 대한 컴패니언 사양도 있습니다. 다른 항목도있을 수 있습니다. (OAuth 1.0 체계와 같습니까?)) http://www.ietf.org/mail-archive/web/oauth/current/msg04573.html에서 결정과 생각을 참조하십시오.

또 다른 이전 주석도 참조하십시오 : http://benlog.com/articles/2009/12/22/its-a-wrap/

여기에 다른 보안 관점을 다루는 것이 어떻게 지저분해질 수 있는지에 대한 또 다른 논의가 있습니다.

http://benlog.com/articles/2010/09/02/an-unwarranted-bashing-of-twitters-oauth/

9
nealmcb