1

口座残高の表示など、「銀行のような」情報を含む大規模なサイトに Facebook ログインを使用することを検討しています。現在のログインはユーザー名/パスワード システムです。それ以外の場合は、現在行われているセキュリティ対策がわかりません。

落とし穴にはどのようなものがありますか? 今のところ、承認と稼働時間のセキュリティを考えています。

Facebook の OAuth 2.0 は安全ですか? OAuth 2.0 の筆頭著者が作業グループを離れたことを読んでください (参照: http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/ )。セキュリティと相互運用性という 2 つの主な目標を実現します。」

4

1 に答える 1

0

これは、Security.StackExchange.com の方がよいでしょう。

私の意見では、十分に安全ではありません。潜在的な利点があることは理解していますし、OpenId、OAuth、およびその他の同様のメカニズムなどのシステムの価値も認識していますが、銀行情報を背後に置くことは、そうではないと思います.

思いつきで、私が最も躊躇する理由は次の 2 つです。

  1. OAuth は非常に多くのサイトで使用されているため、攻撃者にとってはおそらく OAuth の方が魅力的です。
  2. あなたは他人のシステムを信頼しています。Facebook が侵害された場合、突然あなたのサイトも侵害されます。
    • OAuth は自分で調理できるものよりも優れているかもしれませんが、アクティビティや無効なログインなどを監視できないという問題もあります。このようなことを監査することは、サイトを安全に保つための主要な部分です。

Jeff Atwood は、この優れたブログ投稿で、OpenId (類似) の長所といくつかの問題をリストしました。

于 2012-08-15T13:12:47.993 に答える