Biztonsági hibákat találtak az OAuth 2.0 protokollban

 

Az OAuth 2.0 autentikációs protokoll segítségével nap mint nap felhasználók milliárdjai érik el Facebook vagy Google+ fiókjaikat. A Trieri Egyetem két kutatója szerint azonban több sérülékenység is sújtja a protokollt, amelyek lehetőséget teremthetnek illetéktelenek számára, hogy a hitelesítési adatokat megszerezve megszemélyesíthessék a felhasználókat. Erre ad lehetőséget többek közt a „HTTP 307 Temporary Redirect” támadás, amely abból fakad, hogy az identitásszolgáltatók (IdP) nem megfelelő formában továbbítják a hitelesítési adatokat. A szakértők szerint ez a támadási mód elkerülhető lenne, amennyiben OAuth esetén kizárólag HTTP 303- as státusz kódok kerülnének használatra.

(securityaffairs.co)