Quanto è sicuro OAuth 2.0 basato su JavaScript

4

OAuth basato su JavaScript espone l'ID client dell'applicazione e si fida solo del dominio che richiede il token di accesso. Il nome di dominio può essere falsificato con un dirottamento DNS (o un virus che influenza /etc/hosts ). Allora perché OAuth basato su JavaScript è supportato da Google, Facebook per i clienti che non utilizzano HTTPS? O mi sto perdendo qualcosa?

    
posta kalyan 19.04.2014 - 20:33
fonte

1 risposta

1

OAuth 2.0 richiede praticamente HTTPS, in quanto non ha alcun mezzo per rendere sicuri i token. Quindi, se Google e Facebook ti consentono effettivamente di utilizzare OAuth2 su HTTP semplice, ciò è negativo. Sei sicuro che sia così? Ho pensato che entrambi fossero https-only per un bel po 'di tempo.

D'altra parte, OAuth1 funziona bene su HTTP semplice poiché ha il proprio livello di firme digitali sicure

    
risposta data 19.04.2014 - 22:58
fonte

Leggi altre domande sui tag