In che modo è sicuro utilizzare un endpoint per le chiavi pubbliche?

0

OpenID Connect ha endpoint di scoperta contenenti un endpoint JKWS per ottenere chiavi pubbliche per la convalida Token di identità e accesso.

Quindi ad esempio:

  • Ho un'applicazione desktop che ottiene un token di identità dallo STS
  • l'applicazione ottiene il jwks_uri dal documento Discovery
  • l'applicazione ottiene le chiavi pubbliche da questo uri e convalida il token di identità

Quindi un aggressore man-in-the-middle (come malware su un PC) può:

  • intercetta un token di identità dal STS, modificalo e firmalo con la sua chiave privata
  • intercetta la richiesta jwks_uri e restituisce la propria chiave pubblica (s)

Ora l'attaccante può inviare qualsiasi cosa che gli piace senza che l'applicazione lo sappia?

    
posta Kapé 03.06.2016 - 18:03
fonte

1 risposta

2

Non puoi difenderci da questo. Quello che hai descritto è un computer completamente pwned . L'unica cosa da fare è pulire e riformattare. In generale, non puoi fare nulla di sensibile su un computer compromesso o potenzialmente compromesso.

Quindi non preoccuparti di questo. Rendi la tua app sicura dagli attacchi di rete e lascia che l'utente determini se il suo computer è sicuro.

    
risposta data 03.06.2016 - 21:27
fonte

Leggi altre domande sui tag