OpenID ha Scambio attributi , Facebook ha Facebook Connect , e servizi di autorizzazione come Oauth abilita l'accesso ai dati utente distribuiti in una gamma di fornitori di contenuti.
Quali sono le sfide alla sicurezza che questi servizi devono affrontare?
Alla fine della giornata il client (di solito un browser) ha ancora bisogno di un token per mantenere una sessione (di solito con una variabile cookie). Se l'utente malintenzionato ottiene questo token, tramite XSS o OWASP A9 , può accedere alle stesse risorse. CSRF è anche una preoccupazione.
Ora si presume che questi provider di autenticazione siano totalmente immuni dagli attacchi. Se esiste un difetto in uno di questi servizi, anche tu sei nei guai. SQL Injection, Phishing, backup non sicuri, mancanza di protezione brute force sono solo alcune delle preoccupazioni.
oauzz è un oauth fuzzer, che può scoprire gravi difetti in un'implementazione oauth.