Olet tässä:
API (Ota OAuth-asetukset käyttöön): Valtuutuskoodin ja tunnuksen kulkujen asetukset
Tämä ohjaus määrittää valtuutuskoodin ja tunnuksen kulun tietyt suojausvaatimukset.
Ohjaimen nimi
Yhdistetyt sovellukset: API (Ota OAuth-asetukset käyttöön): Valtuutuskoodin ja tunnuksen kulkujen asetukset
Suositeltu kokoonpano
Ota Valtuutuskoodi- ja Tunnustiedot-kulku käyttöön.
Älä vaadi tai poista Vaadi salaisuus verkkopalvelimen kululle- ja Vaadi salaisuus päivitysvaltuuden kululle -vaihtoehtojen valintoja.
Ohjauksen yleiskatsaus
Tämä ohjaus määrittää tietyt suojausvaatimukset "Valtuutuskoodi ja tunnukset -kululle", määrittää, täytyykö asiakassalaisuus vahvistaa sen perusteella, onko sovellus "yksityinen asiakas" (palvelinpuolen) vai "Julkinen asiakas" (selain/mobiili).
Tietoturvariski, jos ei määritetty
Jos salaisuus vaaditaan virheellisesti julkisille asiakkaille, tunnusten kovakoodaus pakotetaan etusijakoodiin, josta ne varastetaan helposti, kun taas jos salaisuutta ei vaadita yksityisille asiakkaille, hyökkääjät voivat vaihtaa kaapattuja koodeja ilman, että he tarvitsevat sovelluksen yksityistä avainta.
Uhkien skenaariot
Hyökkääjä dekompiloi mobiilisovelluksen noutaakseen kovakoodatun asiakassalaisuuden tai sieppaakseen valtuutuskoodin palvelinpuolen sovelluksesta ja vaihtaakseen sen onnistuneesti korkean käyttöoikeuden käyttöoikeusvaltuuden vuoksi, koska salaisuutta ei vaadittu vaihdolle.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Virheellinen kokoonpano johtaa asiakassovelluksen tunnusten vaarantamiseen tai valtuuttamattoman istunnon kaappauksen käyttöönottoon, mikä johtaa luottamuksellisten tietojen pysyviin ja todentamattomiin käyttöoikeuksiin.
Korkeampi riski, kun
Kun kulkua käytetään korkean käyttöoikeuden integraatioille, joilla ei ole PKCE-todennusavainta (Proof Key for Code Exchange) toissijaisena puolustuksena tai kun salaisuuksia säilytetään asiakaspuolen pelkkien tekstien säiliöissä.
Matalan riskin milloin
Kun "Yksityiset asiakkaat" noudattavat tarkasti palvelinpuolella säilytettyjä salaisuuksia ja "Julkiset asiakkaat" käyttävät PKCE:tä suojatakseen vaihdon ilman haavoittuvaa jaettua salaisuutta.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Tämän toteuttaminen oikein vaatii selkeän arkkitehtuurisen erottelun taustajärjestelmään perustuvien ja frontend-järjestelmään perustuvien sovellusten välillä varmistaaksesi, että asiaankuuluvaa "salaisuus"-käytäntöä sovelletaan rikkomatta todennuksen käsivarretta.
Suositeltu korjaus
Valitse yksityisille/palvelinpuolen asiakkaille "Vaadi salaisuus verkkopalvelimen kululle" ja "Vaadi salaisuus päivitysvaltuuden kululle"; Poista näiden vaihtoehtojen valinta julkisille/mobiilisovelluksille ja ota PKCE käyttöön sen sijaan.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus korostaa, että salaisuuden turvallisuus riippuu täysin asiakassovelluksen kyvystä suojata se, ja se määrittää, ettei jaettuja salaisuuksia koskaan paljasteta selaimelle tai mobiiliympäristölle.
