API (OAuth-Einstellungen aktivieren): Flow-Einstellungen für Autorisierungscode und Anmeldeinformationen

Steuerelementname

Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Flow-Einstellungen für Autorisierungscode und Anmeldeinformationen

Empfohlene Konfiguration

Aktivieren Sie Flow für Autorisierungscode und Anmeldeinformationen.

Wählen Sie Geheimnis für Webserver-Flow nicht erforderlich oder deaktivieren und Geheimnis für Aktualisierungstoken-Flow erforderlich aus.

Steuerelementübersicht

Diese Steuerung konfiguriert die spezifischen Sicherheitsanforderungen für den Flow "Autorisierungscode und Anmeldeinformationen" und bestimmt, ob ein Client-Geheimnis validiert werden muss, je nachdem, ob es sich bei der Anwendung um einen "Privaten Client" (serverseitig) oder einen "Öffentlichen Client" (Browser/Mobilgerät) handelt.

Sicherheitsrisiko, wenn nicht konfiguriert

Wenn ein Geheimnis für öffentliche Clients fälschlicherweise verlangt wird, müssen Anmeldeinformationen hart in Frontend-Code codiert werden, wo sie leicht gestohlen werden können. Wenn ein Geheimnis für private Clients nicht erforderlich ist, können Angreifer abgefangene Codes austauschen, ohne den privaten Schlüssel der Anwendung zu benötigen.

Bedrohungsszenarien

Ein Angreifer dekompiliert eine mobile Anwendung, um ein hartcodiertes Client-Geheimnis zu extrahieren, oder fängt einen Autorisierungscode aus einer serverseitigen Anwendung ab und tauscht ihn erfolgreich gegen ein Zugriffstoken mit hohen Berechtigungen ein, da für den Austausch kein Geheimnis erforderlich war.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Fehlkonfigurationen führen entweder zur Kompromittierung von Client-Anmeldeinformationen oder zur Aktivierung von nicht autorisiertem Sitzungs-Hijacking, was zu persistentem, nicht authentifiziertem Zugriff auf sensible Daten führt.

Höheres Risiko, wenn

Wenn der Flow für Hochberechtigungsintegrationen verwendet wird, bei denen PKCE (Proof Key for Code Exchange) als sekundäre Verteidigung fehlt, oder wenn Geheimnisse in clientseitigen Nur-Text-Repositorys gespeichert werden.

Geringes Risiko, wenn

Wenn "Private Clients" die in sicheren serverseitigen Tresoren gespeicherten Geheimnisse streng erzwingen und "Öffentliche Clients" PKCE verwenden, um den Austausch zu schützen, ohne ein verwundbares freigegebenes Geheimnis zu benötigen.

Überlegungen zu Unternehmen und Integration

Die ordnungsgemäße Implementierung erfordert eine klare architektonische Unterscheidung zwischen Backend-gesteuerten und Frontend-gesteuerten Anwendungen, um sicherzustellen, dass die entsprechende "Geheimnis"-Richtlinie angewendet wird, ohne den Authentifizierungs-Handshake zu unterbrechen.

Empfohlene Sanierung

Wählen Sie für private/serverseitige Clients sowohl "Geheimnis für Webserver-Flow erforderlich" als auch "Geheimnis für Aktualisierungstoken-Flow erforderlich" aus. Deaktivieren Sie für öffentliche/mobile Clients diese Optionen und implementieren Sie stattdessen PKCE.

Anleitung zur Sicherheitsintegritätsprüfung

Die Sicherheitsintegritätsprüfung hebt hervor, dass die Sicherheit eines Geheimnisses vollständig von der Fähigkeit des Clients abhängt, es zu schützen, und schreibt vor, dass keine freigegebenen Geheimnisse jemals im Browser oder in der mobilen Umgebung verfügbar gemacht werden.