Sie befinden sich hier:
OAuth-Flow-Aktivierung: Aktivieren der Flow-Steuerung für Autorisierungscode und Anmeldeinformationen
Durch diese Sicherheitseinstellung wird eine moderne OAuth 2.0-Erweiterung aktiviert, mit der eine Anwendung einen temporären Autorisierungscode sicher gegen Zugriffstoken austauschen und gleichzeitig eine strikte Verbindung zu den eindeutigen Anmeldeinformationen der Anwendung aufrechterhalten kann.
Steuerelementname
Externe Client-Anwendungen: OAuth Flow Enablement Enable Authorization Code and Credentials Flow (Flow für Autorisierungscode und Anmeldeinformationen aktivieren)
Empfohlene Konfiguration
Aktivieren Sie Flow für Autorisierungscode und Anmeldeinformationen.
Steuerelementübersicht
Durch diese Sicherheitseinstellung wird eine moderne OAuth 2.0-Erweiterung aktiviert, mit der eine Anwendung einen temporären Autorisierungscode sicher gegen Zugriffstoken austauschen und gleichzeitig eine strikte Verbindung zu den eindeutigen Anmeldeinformationen der Anwendung aufrechterhalten kann.
Sicherheitsrisiko, wenn nicht konfiguriert
Ohne diesen modernisierten Flow basieren Anwendungen häufig auf veralteten oder weniger sicheren Methoden, die nicht dieselbe kryptografische Bindung zwischen der Autorisierung des Benutzers und der spezifischen Client-Anwendung bieten, was das Risiko des Abfangens von Token erhöht.
Bedrohungsszenarien
Ein Angreifer versucht, einen gestohlenen Autorisierungscode zu verwenden, um Zugriff auf eine geschützte Ressource zu erhalten. Der Versuch schlägt jedoch fehl, da das System die Anmeldeinformationen der bestimmten Client-Anwendung benötigt, um den Handshake abzuschließen.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn dieser integrierte Flow nicht implementiert wird, kann dies zu einer fragmentierteren Sicherheitsarchitektur führen, in der Token in verschiedenen Sitzungen einfacher nachgemacht oder erneut wiedergegeben werden können.
Höheres Risiko, wenn
Für öffentlich zugängliche Webanwendungen oder mobile Anwendungen, die ein hohes Benutzeraufkommen in nicht vertrauenswürdigen Netzwerken verarbeiten müssen, bei denen das Abfangen eines einfachen Autorisierungscodes wahrscheinlicher ist.
Geringes Risiko, wenn
Wenn die Anwendung bereits die Erweiterung "Proof Key for Code Exchange (PKCE)" verwendet, um dem standardmäßigen Autorisierungscode-Flow eine zusätzliche Schutzebene hinzuzufügen.
Überlegungen zu Unternehmen und Integration
Zum Implementieren dieses Flows müssen Entwickler ihre Anwendungslogik aktualisieren, um sowohl die Benutzerautorisierungsantwort als auch die anschließende serverseitige Überprüfung der Anmeldeinformationen gleichzeitig zu verarbeiten.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Einstellungen der externen Client-Anwendung und aktivieren Sie das Kontrollkästchen, um den Flow für Autorisierungscode und Anmeldeinformationen zu aktivieren.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert diesen Flow als wichtiges Sicherheits-Upgrade für komplexe Integrationen, sodass jeder Tokenaustausch mit der Identität der spezifischen Anwendung abgeglichen wird, die Zugriff anfordert.
