Deputy Deputy Problem (noto anche come "The Devil Wears Prada") è una vulnerabilità di OAuth 2 che si verifica quando il protocollo viene utilizzato per l'autenticazione. In sostanza, un client dannoso ottiene un token per un utente e lo presenta a un secondo client. Se il secondo client accetta token come prova di autenticazione, il client dannoso può autenticarsi come utente verso un altro client.
Nella maggior parte delle spiegazioni di questa vulnerabilità, come link e Flusso implicito di OAuth e problema del delegato confuso , è suggerito che questo funziona solo per il flusso implicito.
Tuttavia, il flusso del codice di autorizzazione non dovrebbe risentire dello stesso problema? Sembra che un client malintenzionato possa ottenere un codice di autorizzazione per un utente e quindi offrire tale codice di autorizzazione a un secondo client. Il secondo client ora esegue una richiesta di backchannel al server di autorizzazione e, al completamento, il secondo client ritiene che stia comunicando con l'utente anziché con il client dannoso.
Questa analisi è corretta?