Gần đây tôi đã làm một chút công việc với OAuth và tôi phải nói rằng tôi thực sự thích nó. Tôi thích khái niệm này và tôi thích cách nó cung cấp rào cản thấp cho người dùng của bạn để kết nối dữ liệu ngoài với trang web của bạn (hoặc để bạn cung cấp apis dữ liệu để sử dụng bên ngoài). Cá nhân, tôi đã luôn luôn balked tại các trang web mà yêu cầu tôi để cung cấp đăng nhập của tôi cho một trang web cho họ trực tiếp. Và OAuth "valet key cho web" phương pháp tiếp cận giải quyết điều này độc đáo.Các lỗ hổng bảo mật của OAuth và lừa đảo, chúng có thể gắn liền với nhau không?
Vấn đề lớn nhất mà tôi (và nhiều người khác) gặp phải là luồng công việc OAuth tiêu chuẩn khuyến khích cùng loại hành vi mà các cuộc tấn công lừa đảo sử dụng lợi thế của họ. Nếu bạn đào tạo người dùng của mình rằng hành vi bình thường sẽ được chuyển hướng đến trang web để cung cấp bằng chứng xác thực đăng nhập thì sẽ dễ dàng cho trang web lừa đảo khai thác hành vi bình thường đó mà thay vào đó chuyển hướng đến trang web nhân bản của họ nơi họ chụp tên người dùng và mật khẩu của bạn.
Điều gì, nếu có, bạn đã làm (hoặc đã xem xong) để giảm bớt vấn đề này?
Bạn có yêu cầu người dùng truy cập và đăng nhập vào trang cung cấp theo cách thủ công, không có liên kết hoặc chuyển hướng tự động không? (nhưng sau đó điều này làm tăng rào cản nhập cảnh)
Bạn có cố gắng giáo dục người dùng của mình và nếu có, khi nào và như thế nào? Bất kỳ lời giải thích lâu dài về bảo mật mà người dùng phải đọc cũng làm tăng rào cản nhập cảnh.
Còn gì nữa?
Trang web nên được biết đến với chúng, nhưng đó là cách hoạt động của lừa đảo - chúng tạo ra một bản sao trông giống như. Tôi cho rằng cuối cùng nó là tùy thuộc vào người dùng thông minh, nhưng làm những gì chúng ta có thể để giảm thiểu các vấn đề có thể đi một cách lâu dài đôi khi. Tôi chỉ không biết chính xác chúng ta có thể làm gì cho OAuth/lừa đảo ... – Matt