लागू अनुदान में, एक्सेस टोकन को वापस कॉलबैक यूआरएल में भेजा जाता है। क्या यह सुरक्षा जोखिम नहीं है क्योंकि, अगर यह कॉलबैक यूआरएल हॉप में कैश किया गया है। आम तौर पर यह सलाह दी जाती है कि यूआरएल पैराम में संवेदनशील डेटा न भेजें, और यह एक्सेस टोकन सभी सुरक्षित उपयोगकर्ता संसाधनों तक पहुंचने के लिए टोकन होगा। तो यह यूआरएलओथ 2.0 लागू अनुदान कितना सुरक्षित है?
उत्तर
...
(या किसी अन्य OAuth2 अनुदान के माध्यम से) टुकड़ा में टोकन भेजने के जोखिम को कम करने के लिए:
- सुनिश्चित करना है कि OAuth endpoint और कॉलबैक अंत बिंदु हैं टीएलएस (https)
- (countermeasures देखें) एक state parameter भेज क्रॉस साइट जालसाजी रोकने के लिए (यह भी देखें: http://tools.ietf.org/html/rfc6749#section-4.2.1)
अल्पकालिक पहुंच टोकन जारी करना (जैसा कि @vlatko ने कहा) एक लीक टोकन के प्रभाव को कम करेगा, लेकिन एक निवारक उपाय नहीं है।
में खंड के रूप में क्यों गुजर रहा है जैसा कि आपने बताया है, टोकन यूआरआई टुकड़ा पारित किया गया है। चूंकि ब्राउज़र HTTP सर्वर पर यूआरएल के टुकड़े नहीं भेजते हैं, इसलिए संभावना है कि कोई व्यक्ति छिपेगा और एक्सेस टोकन उठाएगा, काफी कम हो गया है।
अतिरिक्त सुरक्षा उपायों भी हैं, जैसे कि निहित अनुदान प्रवाह में केवल अल्पकालिक पहुंच टोकन जारी करना।
OAuth2 threat models document में अधिक जानकारी।
यहां तक कि जब पहुँच टोकन https के माध्यम से भेजा जाता है, इसकी एक टुकड़ा के बाद से, यह नेटवर्क में मध्यवर्ती हॉप सर्वर के लिए संभव नहीं होगा यह – Karthik
हमम, मुझे डर है कि ऊपर दिए गए उत्तरों में कुछ गलतफहमी हैं। जबकि टीएलएस का उपयोग करते समय यूआरएल क्वेरी स्ट्रिंग सुरक्षित हैं, और इस प्रकार एक्सेस टोकन उड़ान में संरक्षित है, यह उपयोगकर्ताओं के ब्राउज़र (उनके इतिहास का हिस्सा) और गंतव्य वेब ब्राउज़र लॉग में भी उजागर होता है। अधिकांश वेब ब्राउज़र इनकमिंग अनुरोध के पूरे यूआरएल को लॉग करेंगे। उनका एक अतिरिक्त मुद्दा "रेफरर" रिसाव समस्या के रूप में जाना जाता है जिसमें क्वेरी स्ट्रिंग को तृतीय-पक्ष साइटों को पास किया जाएगा। एक अच्छा सिंहावलोकन पर पाया जा सकता है:
http://blog.httpwatch.com/2009/02/20/how-secure-are-query-strings-over-https/
vlatko - आप यह कहने के लिए सही हैं कि यूआरआई टुकड़े में कुछ विशेष गुण हैं और इसलिए मेरी उपरोक्त टिप्पणियों को सख्ती से बोलना लागू नहीं होता है। हालांकि, यह संदेश एक्सचेंज का एक बहुत नाजुक पहलू है - आप सचमुच प्रवाह की रक्षा के लिए ब्राउज़र के एक विशिष्ट व्यवहार के आधार पर हैं (यह एक यूआरआई के खंडन घटक को फिर से छोड़ देता है)।यदि यूआरआई टुकड़ा कुछ जगह उठाया जाता है तो यह हमलावर के लिए बहु-प्रयोग टोकन उत्पन्न करता है। – user3101375
आप पूरी तरह से सही हैं। परिभाषा के अनुसार इस प्रकार का प्रमाणीकरण असुरक्षित है। –
- 1. ओपनआईडी कितना सुरक्षित है?
- 2. javax.crypto.Cipher कितना सुरक्षित है?
- 3. ProtectedData.Protect (DPAPI) कितना सुरक्षित है?
- 4. मेरा सुरक्षित पुनर्स्थापन कितना सुरक्षित है?
- 5. फेसबुक कुकी और ओथ 2.0 परिवर्तन
- 6. इकाई फ्रेमवर्क कितना सुरक्षित है?
- 7. कितना सुरक्षित $ _SERVER ["HTTP_HOST"] है?
- 8. कैप्चा वैकल्पिक, कितना सुरक्षित?
- 9. ओथ 2.0 में 2-पैर वाली ओथ कैसे काम करता है?
- 10. https यूआरएल: यह कितना सुरक्षित है?
- 11. मोबाइल प्रोग्रामिंग: एसएमएस कितना सुरक्षित है
- 12. एएसपी.NET सदस्यता ढांचे कितना सुरक्षित है?
- 13. कितना अपवाद सुरक्षित है std :: टाई?
- 14. आईपी पता फ़िल्टरिंग कितना सुरक्षित है?
- 15. मेवेन का उपयोग कितना सुरक्षित है?
- 16. LDAP में आपका पासवर्ड कितना सुरक्षित है?
- 17. फोनगैप में मेरा कोड कितना सुरक्षित है
- 18. mysql प्रोटोकॉल में प्रमाणीकरण कितना सुरक्षित है?
- 19. "ब्राउज़र गेमिंग का भविष्य" कितना सुरक्षित है?
- 20. मोंडो डीबी के आवेषण पर सुरक्षित तरीका कितना सुरक्षित है?
- 21. एक खुला, सुरक्षित, टीसीपी चैनल कितना समय सुरक्षित है?
- 22. स्प्रिंग-सुरक्षा कैसे एसीएल अनुदान अनुदान
- 23. गतिविधि धाराओं को लागू करने के लिए केवल लाल रंग का उपयोग करना कितना सुरक्षित है?
- 24. ओथ
- 25. https पर संवेदनशील डेटा भेज रहा है कितना सुरक्षित है?
- 26. क्या कोई ओथ को समझा सकता है?
- 27. थ्रेड-सुरक्षित लॉगिंग लागू करें
- 28. आईओएस में इंटर-ऐप संचार कितना सुरक्षित है?
- 29. '// domain.com/`(स्कीमा-कम) लिंक का उपयोग करना कितना सुरक्षित है?
- 30. एसएसएल/https में PHP कर्ल कितना सुरक्षित है?
सूंघना यहां तक कि जब पहुँच टोकन https के माध्यम से भेजा जाता है, क्योंकि यह एक टुकड़ा है, नेटवर्क में इंटरमीडिएट हॉप सर्वर के लिए इसे स्नीफ करना संभव नहीं होगा। – Karthik
क्या आपका मतलब है कि यह http के माध्यम से भेजा गया हो? – codeprogression
यदि हम ओथ सर्वर को एक्स के रूप में मानते हैं, और क्लाइंट वाई के रूप में पहुंच का अनुरोध करता है। फिर भी जब टोकन तक पहुंच को https में विभाजित किया जाता है, एक्स से वाई तक, www नेटवर्क में इंटरमीडिएट मशीन एक्स से वाई तक इस एक्सेस टोकन को पढ़ सकते हैं (यानी: https क्वेरी पैरा/खंडों पर सहेजना, http क्वेरी पैरा/खंडों को सहेजना जितना आसान है)। Https के मामले में केवल HTTP निकाय में डेटा एन्क्रिप्ट किया गया है। – Karthik