autenticazione account oauth2

Naviga le tue risposte
5

Immagina di aver protetto la tua applicazione con oauth2 e diversi fornitori di oauth.

Ora immagina qualcuno che utilizza il provider A con l'indirizzo email@@@@@@@@ esempio per accedere.

La prossima volta, qualcuno utilizzerà il provider B con la stessa email [email protected] per accedere.

Entrambi i provider dichiarano che l'indirizzo e-mail è verificato e sono entrambe grandi aziende (non c'è modo di specificare il proprio provider o qualcosa del genere).

Dovresti mappare entrambi gli accessi allo stesso account? Quali sono i rischi?

I rischi che ho già visto sono che la superficie di attacco sta diventando più grande: se voglio hackerare l'account di Bob, posso provare a hackerare il provider A o B. Ma il vantaggio sarebbe più convenienza per Bob, dal momento che non dovrà ricordare quale fornitore ha usato ...

    
posta rdmueller 13.06.2013 - 08:41
fonte

1 risposta

5

Prima di tutto assicurati che ciascun provider OAuth verifichi effettivamente l'indirizzo email dell'utente. Google e Facebook fanno questo, ma non tutti i siti verificheranno il tuo indirizzo email (reddit è un esempio). Google e Facebook sono sulla palla quando si tratta di sicurezza, e dubito che saranno l'anello più debole. Tuttavia, la difesa in profondità è una qualità ammirevole.

Una semplice soluzione al problema dell'utilizzo dell'indirizzo e-mail come identificativo univoco è di inviare l'email all'utente e chiedere loro di fare clic su un link che conferma che entrambi i provider OAuth devono essere collegati.

    
risposta data 13.06.2013 - 18:22
fonte

Leggi altre domande sui tag

Archiviazione sicura in un ambiente di hosting condiviso semi-affidabile I test di penetrazione possono essere considerati parte di un programma di gestione delle vulnerabilità?