7

私は最近、OAuth を使ってかなりの作業を行ってきましたが、OAuth が本当に気に入っていると言わざるを得ません。私はこのコンセプトが気に入っています。また、ユーザーが外部データをサイトに接続する (または外部で使用するためのデータ API を提供する) ための参入障壁を低くする方法が気に入っています。個人的には、別の Web サイトへのログイン情報を直接提供するように要求するサイトにはいつも抵抗を感じてきました。そして、OAuth の「Web のバレット キー」アプローチは、これをうまく解決します。

ただし、私 (および他の多くの人) が見ている最大の問題は、標準の OAuth ワークフローが、フィッシング攻撃が有利に利用するのと同じタイプの動作を助長していることです。ログイン資格情報を提供するためにサイトにリダイレクトされるのが通常の動作であることをユーザーにトレーニングすると、フィッシング サイトがその通常の動作を悪用して、ユーザー名とパスワードを取得するクローン サイトにリダイレクトするのは簡単になります。

この問題を軽減するために、あなたは何をしましたか (または行ったのを見ましたか)?

  • 自動リンクやリダイレクトなしで、提供サイトに手動でアクセスしてログインするようにユーザーに指示していますか? (しかし、これは参入障壁を高めます)

  • ユーザーを教育しようとしていますか? もしそうなら、いつ、どのように教えますか? ユーザーが読まなければならないセキュリティの長い説明も、エントリの障壁を増やします。

ほかに何か?

4

6 に答える 6

2

OAUth とフィッシングは、少なくとも OAuth の現在の形では、容赦なく結びついていると私は信じています。フィッシングを防止するためのシステムが用意されていますが、最も顕著なのは HTTP です (笑いのための一時停止...) が、明らかに機能していません。

フィッシングは、ユーザー名とパスワードの組み合わせを必要とするシステムに対する非常に成功した攻撃です。人々が認証にユーザー名とパスワードを使用している限り、フィッシングは常に問題になります。より優れたシステムは、認証に非対称暗号を使用することです。最新のすべてのブラウザには、スマート カードのサポートが組み込まれています。誰かの財布に入っているカードをフィッシングすることはできず、ユーザーのデスクトップをハッキングしても秘密鍵が漏洩することはありません。非対称鍵ペアはスマート カード上にある必要はありませんが、純粋にソフトウェアに実装されている場合よりも強力なシステムを構築できると思います。

于 2010-02-01T21:25:10.113 に答える
1

あなたはリダイレクト先のサイトのアカウントを持っていますが、シグネチャ フレーズや画像などのフィッシング対策を実装しているはずではありませんか? これは、ユーザーがこれらの手段を一般的に使用する銀行などから受けた既存のトレーニングも活用します。

一般に、サインイン ページは、ユーザーがログインしているサイトの ID を確認するために、ユーザー フレンドリな共有シークレットをユーザーに提示する必要があります。

Jingle が指摘しているように、ssl 証明書は認証に使用できますが、この場合、ユーザーは OAuth セットアップ プロセスの一部として、証明書をサイトから Web ブラウザに直接ロードできませんでしたか? サイトとの信頼関係がすでに確立されている場合、CA にさらに頼る必要があるかどうかはわかりません。

于 2011-07-11T01:58:51.440 に答える
0

これは OAuth だけの問題ではなく、OpenID の問題でもあります。さらに悪いことに、OpenID では Web サイトにプロバイダーを提供しています。偽のサイトがまだない場合は、そのサイトを自動的にスクレイピングして生成し、それをユーザーに送信するのは簡単です。

認証に OpenID を真剣に使用する人がいないことは幸運です。ブログの投稿や flickr のコメントは格好の標的ではありません。

現在、OpenID は情報カードのサポートの開発を開始しているため、どこかで軽減策を講じています。このサポートでは、クライアント側ソフトウェアの形をした固定 UI が安全な ID「ウォレット」を提供しますが、MS は情報カード自体にボールを落としたようです。カード、たとえそれが彼らの(オープンな)仕様であっても。

すぐには消えません。

于 2010-02-01T21:34:50.603 に答える
0

係員のアナロジーを拡張するには、係員を信頼できること、そして係員が試着しているだけではないことをどのように知っていますか? あなたはそうではありません: コンテキストに基づいて (おそらく無意識に) 判断を下すだけです: ホテルを知っている、以前にそこに行ったことがある、鍵を渡した相手を認識しているかもしれません。

同じように、OAuth (または OpenID) を使用してサインインすると、ユーザーが既知のサイトから資格情報を提供していることを確認して、ユーザーを既知のサイト/URL にリダイレクトします。

于 2010-02-01T20:29:38.650 に答える
0

ssl 認証と同じように oAuth プロバイダーを認証するにはどうすればよいでしょうか? 認定された oAuth プロバイダーのみが信頼できます。しかし問題は、ssl 認証と同様に CA が重要であることです。

于 2011-01-12T10:27:36.440 に答える