La maggior parte delle implementazioni di OAuth per le app è vulnerabile a causa di un URL / origine oscurato?

Question

La maggior parte delle implementazioni di OAuth per le app è vulnerabile a causa di un URL / origine oscurato?

#1 da (2 voti)

8

Mi fa rabbrividire ogni volta che mi viene richiesto con OAuth in un'app a causa della mancanza di capacità di verificare che la pagina sia effettivamente originata dalla sorgente rappresentata.

La maggior parte delle implementazioni di OAuth delle app espongono vulnerabilità a causa dell'URL / origine oscurato?

Di seguito sono le app OSX e iOS ... viene creata una vista Web (finestra del browser Web incorporata senza barra degli indirizzi) e la pagina OAuth viene visualizzata senza URL o certificato SSL, che potrebbe essere facilmente falsificato e sfruttato con tecniche di phishing. Il rischio sembra enorme.

App Cobook su OSX

AppTrellosuiOS

authentication oauth

posta Luke 14.09.2013 - 03:28

fonte

1 risposta

Leggi altre domande sui tag authentication oauth

Come verificare se il popup della password di iCloud è legittimo? Richiede 2 chiavi per accedere a un contenuto

score 2 · Answer 1

Ciò non viola la sezione di sicurezza della RFC OAuth 2.0 . Tuttavia, il modello di minaccia OAuth 2.0 RFC menziona il phishing . Il problema di oscurare l'origine della pagina di autenticazione non è elencato ... da nessuna parte. Come in, non ho mai avuto questo problema e non credo che sia documentato.

Si potrebbe argomentare che tutte le pagine di autenticazione devono sempre mostrare la loro origine e mostrare che sono protette con HTTPS. (È la tua schermata di una pagina HTTPS? Non c'è modo di dirlo.) Questa è una vulnerabilità a rischio medio / basso, e penso che Twitter dovrebbe risolvere il problema. Raccomando l'email [email protected], Twitter prende molto sul serio la sicurezza e hanno un grande team di sicurezza.