3

ワンクリック URL ベースの認証を保護するのに役立つ推奨事項や参考資料はありますか?

基本的に、この状況は、認証情報 (un、pw、authkey など) を提供するブラウザを介して HTTPS リクエストを受け入れるサードパーティ システムです。サービスは、提供された資格情報を認証すると、ログイン アクセスを許可または拒否します。ポイントは、誰かがリンクをクリックすると、このサードパーティ システムへのアクセスが自動的に許可されるということです。

現在、プロセス全体を取り巻くセキュリティはそれほど多くありません (製品がまだ生産されていないため、大したことではありません)。サードパーティは、これを少しでも保護するためにいくつかの変更を加えることをいとわない. .

私はすでに情報をハッシュする必要があると判断しており、ブラウザの履歴に情報が表示されないようにするために、おそらく POST 経由で送信することさえあります。しかし、皆さんがこのようなことをどのように処理するかについて、少し意見を述べたいと思います。

[編集: リクエストは HTTPS 経由で送信され続けます。また、以前は HTTPS であった HTTP を変更しました]

4

3 に答える 3

9
  1. 「これを少し確保する」ことは考えないでください。それは最初から安全であるか、あなたに多大な費用がかかる穴があります。

  2. HTTP ダイジェスト認証を見てください。シンプルで信頼性が高く、ほとんどの状況でうまく機能します。

  3. OWASP.orgの上位 10 の脆弱性を見てください。一つ一つを理解して対応してください。

于 2008-10-27T20:37:25.787 に答える
1

おそらく HTTPS を使用して、サード パーティの Web サーバーへの転送中に資格情報が傍受されるのを回避する必要があります。

于 2008-10-27T20:40:05.877 に答える
1

古いリンクを使用してアプリケーションにアクセスしないようにしてください。リンクを現在の時間値に依存させる

于 2010-09-30T14:03:40.817 に答える