Il token ID contiene informazioni sensibili inviate tramite il metodo GET

Question

Il token ID contiene informazioni sensibili inviate tramite il metodo GET

#1 da (2 voti)

1

Ho scoperto che il mio sito Web utilizza id_token e contiene informazioni dell'utente. Uno di questi è il mio numero di telefono che penso possa essere un dato sensibile. Perché, se gli aggressori sono in grado di catturare la richiesta, ottengono il mio id_token e lo decodificano. Hanno la mia email (ovviamente) e il mio numero di telefono che penso non dovrebbe essere lì. Sono confuso che se il mio numero di telefono viene divulgato, è considerata una vulnerabilità?

email: "[email protected]",
 email_verified: false,
 phone_number: "+372591114xxx",
 firebase: {
  identities: {
   phone: [
    "+372591114xxx"
   ],
   email: [
    "[email protected]"
   ]
  },
  sign_in_provider: "custom"
 }
}.
[signature]

disclosure

posta Ender 14.12.2018 - 05:47

fonte

1 risposta

Leggi altre domande sui tag disclosure

Quanto è sicuro utilizzare il port forwarding per VNC? Scenario di sicurezza liquido

score 2 · Answer 1

Il passaggio di informazioni sensibili o personali come parametri di query è generalmente considerato un problema, in quanto viene rivelato in molti modi che i dati POST non lo sono. Si veda ad esempio la domanda simile " I dati sensibili dovrebbero mai passato nella stringa di query? "OWASP ha una breve descrizione del problema: Esposizione di informazioni tramite stringhe di query in URL.

I problemi principali sono generalmente considerati

Segnalibri e cronologia browser se qualcuno ha accesso al browser
Accedi ai registri del destinatario previsto della query (o dei proxy tra te e il destinatario)
Che i parametri della query sono inclusi nell'intestazione "referer" inviata ad altri server.

Ciò che rende questo caso particolarmente interessante è che le informazioni in questione sono in realtà un token ID firmato. Può essere concepito per autenticare gli utenti di altri fornitori di servizi (sebbene ciò richieda un'implementazione interrotta presso un fornitore di servizi, un tipo di delegato confuso problema).

L'inclusione di token ID in questo modo è effettivamente incoraggiata dallo standard OpenID Connect, come id_token_hint . Può essere POSTATO, ma la maggior parte delle implementazioni (poche come sono) che ho visto, usano i parametri di query. Quindi cambiare gli sviluppatori del tuo servizio potrebbe essere una sfida.