Sicherer Zugriff auf Web-APIs durch das OAuth-Protokoll
Kommentare

Fazit
OAuth weist keine wirklichen Schwachstellen auf. Das Nicht-Verfallen der Autorisierung nach einer Passwortänderung ist so gewollt und muss ggf. vom Server berücksichtigt werden. Beispielsweise

Fazit

OAuth weist keine wirklichen Schwachstellen auf. Das Nicht-Verfallen der Autorisierung nach einer Passwortänderung ist so gewollt und muss ggf. vom Server berücksichtigt werden. Beispielsweise kann der Resource Owner nach einer Passwortänderung auf eine Seite mit allen erteilten Autorisierungen geleitet werden, auf der er dann ggf. einzelne Autorisierungen löschen kann.

Der Rest ist altbewährte Praxis sicherer Programmierung – weder dürfen sensitive Daten unverschlüsselt übertragen werden, noch dürfen sicherheitsrelevante Formulare ohne CSRF- und Clickjacking-Schutz daher kommen. Und das Phishing? Nun, das ist heutzutage ja leider üblich, und auf einen Redirect mehr oder weniger kommt es da auch nicht an.

Es gibt also keinen Grund, OAuth nicht zu nutzen, dafür aber einige, die für seine Verwendung sprechen. Und wie das geht, erfahren Sie im zweiten Teil [den wir am 22.03. online stellen werden, Anm. d. Red.].

Dipl.-Inform. Carsten Eilers ist als freier Berater und Coach für IT-Sicherheit und technischen
Datenschutz tätig und als Autor verschiedener Artikel und des Buchs „Ajax Security“ bekannt. Zu erreichen ist er unter www.ceilers-it.de, sein Blog finden Sie unter www.ceilers-news.de.
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -