Perché le versioni incorporate ("overlay", "embed") del blocco auth0 sono considerate sicure?

3

Se scorri verso il basso a link per le modalità mostrerà più modalità: "overlay", "embed", "hosted" e "pronto per il cellulare". Ho il permesso di incorporare l'accesso da auth0 per mostrarlo sul mio sito (senza reindirizzare al loro sito che ospita il loro servizio di accesso).

I ladri possono facilmente falsificare il layout del login, vero? Pensavo che gli utenti finali potessero essere sicuri che le loro credenziali non venissero rubate inserendole in un sito fasullo se l'utente finale potesse confrontare l'url del sito corrente con il sito sul quale si trovava / il servizio che desiderava bloccare con. Perché auth0 continua a offrirmi il mio login sul mio sito?

Voglio dire che ci sono alcuni siti su Internet che ti consigliamo di non rubare le tue credenziali auth0 (o qualsiasi altro servizio di accesso fornito da auth0), ma lo offrono a tutti.

    
posta EmailDE 17.11.2016 - 20:22
fonte

2 risposte

2

Why does auth0 still offer me to embed their login on my site?

Il sistema di autenticazione fornito da auth0 non offre agli utenti l'immissione delle "credenziali utente auth0". Piuttosto, le credenziali sono uniche per il sito che sta incorporando il modulo.

Hai ragione nel fatto che è sicuro inserire i tuoi dati di accesso in un modulo incorporato se ti fidi della pagina che lo ospita. Ecco perché le funzioni di accesso social come "Accedi con Google" ti reindirizzano sempre a una pagina di accesso protetta del provider di identità sociale e non devono mai chiederti di inserire le tue credenziali direttamente nella pagina iniziale (potenzialmente non attendibile).

    
risposta data 17.11.2016 - 21:02
fonte
0

Il tuo client Auth0 ha un'opzione per configurare Allowed Origins - questo determina quali origini sono autorizzate ad eseguire flussi di concessione della password del proprietario della risorsa (ad esempio l'autenticazione attiva), poiché questi flussi vengono eseguiti facendo una richiesta di origine incrociata a Auth0. In questo modo un utente malintenzionato su un'origine diversa rispetto al sito web originale non può spoofare l'endpoint di accesso, almeno non direttamente, ma potrebbe ancora potenzialmente rubare le credenziali degli utenti semplicemente catturandoli comunque.

Abbiamo in programma di implementare l'opzione per disabilitare le concessioni di password del proprietario di risorse per client specifici, ma ad oggi è possibile limitare questi accessi utilizzando una regola:

function (user, context, callback) {
  if (context.protocol === 'oauth2-resource-owner') {
    return callback(
      new UnauthorizedError('The resource owner endpoint cannot be used.'));
  }
  callback(null, user, context);
}

Come sottolineato, il modo più sicuro per eseguire l'autenticazione è reindirizzare gli utenti al provider di identità. Auth0 supporta anche questo ed è la nostra opzione consigliata quando possibile.

    
risposta data 17.11.2016 - 23:54
fonte

Leggi altre domande sui tag