it-swarm-es.com

¿Cuáles fueron las fallas de seguridad específicas con OAuth 1.0? ¿Cómo se están abordando en 2.0?

Leí un artículo que documenta que Twitter retira abruptamente su OAuth soporte en abril de 2009. El artículo decía que no especificaría el agujero por razones de seguridad, pero mencionó " la ingeniería "está involucrada.

Supongo que el problema es que un sitio malicioso puede pretender estar usando OAuth y redirigir al usuario a un sitio de phishing destinado a imitar a Twitter en un intento de obtener su nombre de usuario y contraseña. ¿Es esto correcto?

Además, cualquiera que sea la falla, ¿cómo se aborda en 2.0?

8
eskerber

El "ataque de fijación de sesión" de abril de 2009 se describe aquí: http://oauth.net/advisories/2009-1/ y con más detalle aquí: http://hueniverse.com/2009/04/explicando-el-ataque-de-fijación-de-sesión-oauth /

La seguridad significa cosas diferentes desde diferentes perspectivas. Como sigo repitiendo en este sitio, todo depende de su modelo de amenaza. Los proveedores de aplicaciones tienen un modelo de amenaza diferente al de los usuarios, que es diferente al de la RIAA.

Hay un movimiento entre algunos usuarios de OAuth 2.0 de firmas criptográficas a un modelo de "envoltura": "tokens de portador envueltos con TLS" (como cookies). El editor de la especificación habla sobre sus preocupaciones con que para escenarios de descubrimiento interoperables: http://hueniverse.com/2010/09/oauth-2-0-without-signatures-is-bad-for-the-web/ En el Borrador 11 de la OAuth 2.0 spec, la opción para firmas está de vuelta. La especificación del token de portador se traslada a una especificación complementaria, y también hay especificaciones complementarias para firmas a través de SAML y Kerberos. Quizás haya otras (como el esquema OAuth 1.0?) Vea la decisión y el pensamiento en http://www.ietf.org/mail-archive/web/oauth/current/msg04573.html

Véase también otro comentario anterior: http://benlog.com/articles/2009/12/22/its-a-wrap/

Aquí hay otra discusión sobre cómo puede complicarse lidiar con las diferentes perspectivas de seguridad.

http://benlog.com/articles/2010/09/02/an-unwarranted-bashing-of-twitters-oauth/

9
nealmcb