Domande con tag 'oauth'

domande con tag
1
risposta

Se utilizzo impropriamente OAuth 2.0 per eseguire l'autenticazione, sono a rischio?

Comprendo che OAuth non è un protocollo di autenticazione, ma un'autorizzazione (anche se il primo paragrafo su La pagina di Google OAuth 2.0 non è d'accordo ), così come: [...] authorization can be abused into some pseudo-authentication...
posta 07.06.2016 - 15:18
1
risposta

La maggior parte delle implementazioni di OAuth per le app è vulnerabile a causa di un URL / origine oscurato?

Mi fa rabbrividire ogni volta che mi viene richiesto con OAuth in un'app a causa della mancanza di capacità di verificare che la pagina sia effettivamente originata dalla sorgente rappresentata. La maggior parte delle implementazioni di OA...
posta 14.09.2013 - 03:28
1
risposta

Quali sono le implicazioni della divulgazione di un segreto del consumatore per la condivisione tra sviluppatori che sviluppano siti Web locali?

In relazione a questo problema di GitHub sul progetto Gittip (che si è rivelato essere un falso allarme), quali sono le implicazioni sulla sicurezza, se ce ne sono, di hardcoding nel repository git, una chiave utente OAuth di test e un segreto...
posta 08.04.2014 - 02:59
1
risposta

Incluso un file client_secret OAuth in un'applicazione Java

Un file client_secret.json viene utilizzato nel flusso di autorizzazione OAuth 2.0 per l'API di Google Drive ( esempio ). Se includo client_secret.json nella mia applicazione Java, accedere ai contenuti JAR è estremamente facile. Qu...
posta 05.11.2015 - 17:54
3
risposte

Rilevamento dell'implementazione dannosa OAuth

Mi chiedo come può un utente finale rilevare un OAuth implementato malintenzionalmente se a 2 o 3 zampe. In particolare, sono interessato a quei casi in cui il richiedente consumatore presenta maliziosamente all'utente una pagina del fornitore d...
posta 17.08.2011 - 10:23
2
risposte

Perché dovresti disaccoppiare le tue risorse e i server di login?

Come descritto sul link questo , OAuth specifica che un server di login e un server di risorse dovrebbero essere disaccoppiati . L'idea è che se uno dei tuoi server delle risorse viene violato, nessun dato sulla password viene perso. Tutte le c...
posta 10.03.2015 - 10:27
1
risposta

OAuth2 con credenziali client v / s altri meccanismi di autenticazione

Per un'API REST contro cui i client scriverebbero applicazioni non interattive basate su browser, se OAuth2 è il meccanismo di autenticazione da seguire, allora useremo il tipo di concessione delle credenziali del client per l'autenticazione. Sa...
posta 29.01.2014 - 12:32
1
risposta

È sicuro assegnare un token Oauth al lato client javascript in modo che possa direttamente effettuare richieste a un server?

Al momento ho un'applicazione backbone.js semplice fornita dal mio dominio (esempio.com), a cui viene fornito un token Oauth. Nello specifico, passo il token Oauth attraverso il mio modello di pagina negli argomenti del costruttore della mia cla...
posta 22.11.2013 - 22:48
3
risposte

Autorizzazione OAuth2 - salva token nei cookie o nella sessione?

Sono un principiante della sicurezza. Sto implementando oauth sul mio sito e voglio chiedere dove dovrei salvare il mio token di accesso: cookie sessione (verrà recuperata dal server tramite richiesta Ajax) Ho backend (restful) e fronte...
posta 05.02.2014 - 18:00
2
risposte

Devo evitare questo schema di autenticazione basato su token (che non è OAuth)?

Ho già avuto a che fare con OAuth ma non sono molto sicuro dell'API con cui sto lavorando ora. La mia domanda è fondamentalmente, è tristemente insicuro ? A quanto ho capito, oAuth fa quanto segue (approssimativamente): Il servizio X mi...
posta 13.09.2012 - 09:32