这个问题是关于尝试了解在 Android 等移动平台上实现 oauth 所涉及的安全风险。这里假设我们有一个在代码中嵌入了消费者 key / secret 的 Android 应用程序。
假设消费者的 secret 已被泄露,并且黑客已经掌握了它,这会产生什么后果?
泄露的消费者 secret 假设
我是否正确地说,泄露的消费者 secret 对用户的安全性或存储在用户与之交互的启用 OAuth 的提供程序中的任何数据没有影响。数据本身不会受到损害,黑客无法检索。
黑客需要获得一个有效的用户访问 token ,而这要难得多。
黑客可以利用泄露的消费者 secret 做什么?
我是否也正确地陈述了以下内容:
对最终用户的影响
假设
可能会发生以下情况:
OAuth 消费者(我的应用程序)影响:
我的应用程序(包含消费者密码)需要更新,否则我的所有客户将无法授权我的应用程序代表他们执行请求(因为我的消费者密码将不再有效)。
委派所有 OAuth 流量
尽管可以通过中间网络服务器委托(delegate)大量 OAuth 交互(进行 OAuth 舞蹈并将访问 token 发送给用户),但还必须代理所有服务交互,因为需要消费者 key / secret 用于签署每个请求。这是将消费者 key / secret 保存在移动应用程序之外并存储在中间网络服务器上更安全的地方的唯一方法吗?
替代方案
这种代理有其他选择吗?是否可以将消费者 secret 存储在中间网络服务器上,并具有某种机制,Android 应用程序(在市场上发布并正确签名)可以向中间网络服务器发出安全请求以获取消费者 secret 并将其存储在应用程序内部?是否可以实现一种机制,让中间网络服务器“知道”这是一个正在请求获取消费者 secret 的官方 Android 应用,并且中间网络服务器只会将消费者 secret 分发给该特定 Android 应用?
最佳答案
总结:我会冒险并在客户端应用中保守 secret 。
替代代理服务器:
您可以合理缓解我在下面列出的问题并使代理工作的唯一方法是走完整的九码 - 将所有用于处理第三方 Web 服务上的资源的业务逻辑移动到您的代理服务器,并使客户端应用程序成为具有丰富 UI 的哑终端。这样,恶意应用程序能够让代理代表它执行的唯一操作就是您的业务逻辑合法需要的操作。
但现在您遇到了一大堆其他问题,必须处理可靠性和可扩展性。
深思熟虑为什么简单的代理不起作用:
Some people, when confronted with a problem, think “I know, I'll add my own proxy server” Now they have two problems. (with apologies to Jamie Zawinski)
您的假设在很大程度上是正确的。直到您开始考虑自己的服务器,它是否会保密并代理客户端应用程序的调用,或者它会尝试确定应用程序是否合法并提供 secret 。在这两种方法中,你仍然要解决“这个请求来 self 写的一段代码”的问题吗?
让我重复一遍 - 没有办法区分特定软件正在运行的线路。如果消息中的数据看起来正确,则无法证明是另一个应用程序在发送该消息。
归根结底,如果我正在编写恶意应用程序,我不在乎我是否真的知道真正的 secret ,只要我能让知道它的人代表我工作即可。那么,如果您认为恶意应用可以将您的应用模拟到第三方 OAuth 服务器,为什么确定它不能将您的应用模拟到您的代理?
但是等等,还有更多。您的代理服务所在的域是您对客户和 OAuth 提供者的身份(如 OAuth 提供者向最终用户显示的那样)。如果恶意应用程序可以使您的服务器做坏事,那么不仅您的 key 被吊销,而且您的公共(public)网络身份也不再受信任。
我将从显而易见的开始 - 无法区分特定软件正在运行的线路。如果消息中的数据看起来正确,则无法证明是另一个应用程序在发送该消息。
因此,任何依赖应用端存储 secret 的算法都可能被欺骗。 OAuth 的优势在于它从不将用户的凭据提供给应用程序,而是为应用程序提供它自己的临时凭据,用户可以在必要时撤销。
当然,这里的弱点是一个足够好的应用程序可以让用户信任它,而不是在完成其邪恶行为之前撤销凭据。
但是,缓解这种情况的一种方法是 Google 使用 3-legged OAuth 的方法,而不是标准的 2-legged。在 3-legged OAuth 中,没有预先分配的 secret ,但在每次身份验证时,都会发布一个新的访问 token secret 以及每个访问 token 。虽然最终这会遇到同样的缺点,因为一个坏应用可以从它的进程中读取好应用的 token secret ,它确实导致用户每次需要新的访问 token 时都必须批准应用访问。
当然,这也意味着它对用户来说有点不方便和烦人。
关于android - 如何保护 OAuth 消费者 secret 的安全,以及当它被泄露时如何 react ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4419915/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为
