Текущая спецификация OAuth 1.0-как она реагирует на атаку фиксации сеанса?

Я реализовал поставщик OAuth 1.0, следующий этой спецификации, которая должна быть последней. Спецификация была изменена для решения проблемы атаки фиксации сеанса , которая была выявлена в 2009 году. Дело в том, что, кроме необходимости различать две спецификации, я не уверен, какие меры были добавлены/изменены в спецификации в ответ на проблему.

Поскольку я реализовал" правильную " спецификацию, мне трудно объяснить заинтересованным сторонам, какие меры я имею принято, чтобы уменьшить риски.

Кто-нибудь хочет пролить свет на этот вопрос для меня?

2 2
oauth session-fixation

2 ответа:

1.0 a адресует очень специфическую атаку, описанную здесь:

Http://hueniverse.com/2009/04/explaining-the-oauth-session-fixation-attack/

4
  1. параметр oauth_callback теперь требуется на этапе генерации токена запроса. Используется параметр oauth_callback_accepted ответа, обозначенный OAuth 1.0 a.
  2. параметр oauth_verifier генерируется поставщиком услуг на этапе проверки подлинности/согласия.
  3. oauth_verifier необходимо отправить на этапе генерации маркера доступа.

См. http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs для более подробной информации.

0