C'è qualche problema di sicurezza se ho inviato il token di sicurezza, emesso da un IdP fidato, a javaScript?

0

C'è qualche problema se ho inviato il token di identità, che è stato rilasciato da un IdP fidato, al codice javaScript per poterlo utilizzare in una chiamata Ajax a un metodo web con autenticazione?

C'è qualche problema di sicurezza nel farlo se il token è cifrato o no!

Nel mio caso, c'è un'applicazione web che chiede a un IdP di autenticare gli utenti. Sto utilizzando un servizio web WCF con Ws2007FederationBinding per inviare il token di sicurezza. Va tutto bene quando chiamo il servizio dal server, ma ora come posso consumarlo dal lato client usando anche JavaScript?

    
posta Homam 09.12.2014 - 12:51
fonte

1 risposta

1

Vedo due possibili vettori di attacco.

  1. intercettazioni
  2. vulnerabilità di cross site scripting nella tua applicazione web

Quando il token non viene trasmesso tramite HTTPS, può essere intercettato e utilizzato da un intercettatore. Per evitare ciò, applica https per tutte le comunicazioni.

Quando il documento HTML include dati di terze parti, è necessario essere stanchi delle iniezioni di XSS. Quando un utente malintenzionato è in grado di importare codice JavaScript nella pagina che viene eseguita, può accedere a qualsiasi dato in qualsiasi applicazione JavaScript incorporata nel documento HTML e inviarlo a qualsiasi altro sito Web. Per evitare che ciò accada, assicurati che tutte le tue applicazioni web disinfettino correttamente le stringhe fornite dall'utente. Potresti anche voler informare i tuoi utenti che il tuo sito web non ha funzioni nascoste che possono essere sbloccate inserendo alcuni codici criptici nella console degli sviluppatori ( come fa Facebook, per esempio ).

Ricorda inoltre che non puoi impedire all'utente di scoprire il proprio token. Quando devi proteggere il token dall'essere scoperto dall'utente a cui è stato rilasciato, dovrai trovare una soluzione diversa.

    
risposta data 09.12.2014 - 13:44
fonte

Leggi altre domande sui tag