Cosa può fare un utente malintenzionato con un token di aggiornamento che non può essere revocato e ha una scadenza di 1 anno?

0

In ADFS 4.0 non è possibile rinominare un token di aggiornamento senza passare attraverso un flusso di richieste di autorizzazione (chiedendo nuovamente all'utente le credenziali) e non può essere revocato.

Sono costretto a mettere una durata di 1 anno per il token di aggiornamento per evitare di forzare l'utente a inserire il suo nome utente / password ogni volta che il token di aggiornamento scade.

Qual è il rischio se un utente malintenzionato ruba questo token di aggiornamento con 1 anno di scadenza?

    
posta Eloy Roldán Paredes 18.10.2018 - 12:00
fonte

1 risposta

1

Se un utente o un utente malintenzionato ha un token di aggiornamento, possono facilmente chiedi un token di accesso e quindi accedi a qualsiasi risorsa protetta. Questa è la definizione di token di aggiornamento / accesso. Avrebbero anche avuto accesso per tutto l'anno, anche se anche se lo avessero avuto per un giorno, avrebbero potuto fare altrettanto danno. Anche con tempi di scadenza molto brevi, se fossero in grado di ottenere un token in primo luogo, potrebbero replicare ciò che hanno fatto la prima volta per ottenere più token.

Ora, chiunque può ottenere il token di aggiornamento? A meno che il loro computer non sia già stato compromesso. Il fatto di farlo da remoto verrà probabilmente bloccato dall'ADFS tramite i metodi solo sicuri / solo HTTP, forzandoli a essere trasmessi tramite una connessione crittografata e impedendo la dispersione di JS (le piattaforme non web avranno protezioni simili). Se qualcuno è in grado di entrare fisicamente sul computer e vedere il cookie, allora potrebbe anche solo scaricare un keylogger comunque.

    
risposta data 18.10.2018 - 20:48
fonte

Leggi altre domande sui tag