1. Trang chủ
  2. Câu hỏi và trả lời
  3. Azure ACS - URL xác nhận quyền sở hữu được hiển thị trong lịch sử trình duyệt - lỗ hổng bảo mật?

Azure ACS - URL xác nhận quyền sở hữu được hiển thị trong lịch sử trình duyệt - lỗ hổng bảo mật?

2012-02-05 36 views
5

Tìm thấy bản trình diễn ACS chính thức này http://www.fabrikamshipping.com/ trong khi nghiên cứu về ACS.
Trong chính ứng dụng, khi đăng nhập với một trong các nhà cung cấp (tôi đã chọn Google), tôi có thể thấy trong lịch sử trình duyệt URL chứa các xác nhận quyền sở hữu được trả lại từ ACS. Đó là URL bắt đầu bằng:Azure ACS - URL xác nhận quyền sở hữu được hiển thị trong lịch sử trình duyệt - lỗ hổng bảo mật?

https://fabrikamshipping.accesscontrol.windows.net/v2/openid?context=pr%3dwsfederation%26rm%3dhttp%253a%252f%252ffabrikamshipping%252fcons ...

Đi URL này đăng nhập tôi trong ứng dụng, ngay cả sau khi thanh toán bù trừ tất cả bộ nhớ cache và cookie trình duyệt.
Vì vậy, nếu tôi đăng nhập vào ứng dụng từ một số máy tính công cộng, sau đó đăng xuất, tài khoản của tôi sẽ được hiển thị bằng cách truy cập URL này trong lịch sử trình duyệt.

Tôi biết đây là cách nổi bật để xử lý danh tính ACS hoạt động.
Tôi thiếu gì ở đây?

Nguồn

2012-02-05 Yaron Levi

+0

Quan sát tuyệt vời Yaron! Tôi sẽ thêm liên kết đến cuộc thảo luận của bạn với các MSFT về nó ở đây nếu bạn không phiền. –

+0

Nhân tiện, cùng một vấn đề được áp dụng cho đăng nhập Facebook qua ACS –

Trả lời

1

Bạn không bị thiếu. URL này sẽ đăng nhập bạn, ngay cả khi tất cả các cookie đều bị xóa. Tuy nhiên, khi đi trên máy tính công cộng, bạn phải cẩn thận hơn về thông tin đăng nhập của mình. Xóa lịch sử sẽ xóa URL này khỏi lịch sử trình duyệt.

Ngoài ra, tôi không thực sự thấy URL xác nhận quyền sở hữu trong lịch sử của mình.

Một cách khác để bảo vệ dữ liệu cá nhân của bạn là sử dụng "In Private Browsing session" cho trình duyệt bạn chọn. Lưu ý rằng rất khó cho ai đó xem, chưa kể đến việc nhớ URL đó. Bạn nhận được nó, bởi vì bạn đã sao chép từ trình duyệt tại thời điểm chuyển hướng.

Nguồn

2012-02-06 07:59:39 astaykov

+0

Thử sử dụng chrome và bạn sẽ thấy URL trong lịch sử. Tuy nhiên, tôi không thể chấp nhận điều này. Làm thế nào ai cũng có thể sử dụng ACS Identity khi nó có một lỗ hổng bảo mật lớn như vậy. Nếu tôi không sử dụng ACS và triển khai đăng nhập Google và Facebook của riêng tôi thì lỗ hổng bảo mật sẽ không tồn tại - người dùng có thể truy cập trang web của tôi trên máy tính công cộng và không phải nhớ nhập mật khẩu đó ở chế độ riêng tư. –

+0

Hm, Thực ra để tiếp tục cuộc nói chuyện. Nó dường như chỉ là một vấn đề "đăng xuất". Khi sử dụng xác thực quyền sở hữu và bạn sử dụng nhà cung cấp nhận dạng, URL xác nhận quyền sở hữu của bạn sẽ chỉ hoạt động nếu bạn có phiên hiện tại với nhà cung cấp danh tính đã chọn. Nếu bạn đăng xuất khỏi nhà cung cấp nhận dạng - URL đã nhận sẽ không đăng nhập bạn bằng ứng dụng. – astaykov

+1

bạn đã tự mình thử chưa? Tôi đăng nhập vào fabrikamshipping.com. Sau đó đăng xuất khỏi tài khoản Google của tôi và xóa tất cả bộ nhớ cache và cookie của trình duyệt chỉ để đảm bảo. Đóng trình duyệt. Mở lại và truy cập URL xác nhận quyền sở hữu - bạn đang ở. –

Các vấn đề liên quan

 Các vấn đề liên quan