Задать вопрос
@desposito
информационная-безопасность

Безопастно ли я делаю oAuth?

Есть сервер авторизации auth.com, есть сайты a.com и b.com которые его используют.

История:
- клиент зашел на a.com
- нажал "Войти"
- попал на oAuth на сайте auth.com
- авторизировался
- попал назад
- все отлично

После этого как я понимаю у него появились куки на сайте auth.com, ведь если он зайдет на b.com ему уже не надо будет вводить логин/пароль, а идентифицируем на auth.com мы его по кукам...

Вывод: Если у пользователя угонят куки (не важно как, хоть из браузера копирнули) с auth.com то злоумышленники получат доступ ко всем подключенным сайтам (a и b в том числе).

Вопрос: Как минимизировать риски? Как сделать так что бы после получения куки не было доступа ко всем сервисам?
  • Вопрос задан
  • 179 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
@BashkaMen
C# программист
можно попробовать привязать сессию к IP, при угоне куков на другом ПК они уже будут не актуальны
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Старший специалист по информационной безопасности (аттестация ОИ)
Гринатом Москва
До 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка простого C++ Плагина After Effects
28 нояб. 2024, в 03:51
3500 руб./за проект
Full-Stack для сайта на Bitrix (Аспро). Знания в Java, CSS и PHP
12 нояб. 2024, в 16:00
150000 руб./за проект
Разместить шаблон сайта с личным кабинетом под хостинг серверов
28 нояб. 2024, в 00:33
5000 руб./за проект
Ещё заказы