È una cattiva idea fornire un ID di OAuth "test" e un segreto?

Naviga le tue risposte
3

Sto lavorando su un'app Web e potrei eventualmente voler coinvolgere altri nel progetto. Ho due serie di credenziali GitHub: una chiamata Foo che richiama a foo.com/endpoint e una chiamata Foo - TEST CREDENTIALS che richiama a foo.local/endpoint . L'idea è che posso condividere le credenziali di test con altri sviluppatori e possono modificare il loro /etc/hosts per i test locali.

In genere sono una persona fidata, ma esiste un modo in cui un utente malintenzionato potrebbe utilizzare ragionevolmente queste credenziali di prova per il male? Secondo me, dovrebbero:

  1. Assicurati che il DNS per la connessione della vittima a foo.local punti al loro server.
  2. Assicurati che la vittima acceda a foo.local anziché foo.com .
  3. Spero che la vittima accechi ciecamente l'accesso e non noti i - TEST CREDENTIALS nel nome dell'applicazione nella schermata di autorizzazione di GitHub.

Questo mi sembra abbastanza inverosimile, quindi ho intenzione di affermare che è sicuro distribuire queste credenziali di prova ai colleghi. Qualcuno può dimostrarmi in errore fornendo un metodo di attacco più efficace?

    
posta Ryan Kennedy 20.10.2015 - 18:01
fonte

1 risposta

1

È un uso perfettamente ragionevole. In realtà abbiamo localhost come endpoint per le nostre chiavi API di test, e il nostro provider OAuth consente semplicemente callback http per localhost, quindi rende il test molto semplice.

Puoi revocare facilmente le credenziali se sono compromesse e non hai davvero bisogno del nome della tua azienda sul nome visualizzato.

    
risposta data 09.09.2016 - 00:55
fonte

Leggi altre domande sui tag

Vulnerabilità legata alla stringa di formato incontrollata in JavaScript Intercettazione SMS in rete 3G / 4G