Google и Microsoft анонсировали протокол для защиты токенов OAuth

Инженерный совет Интернета (Internet Engineering Task Force, IETF) работает над протоколом Token Binding Protocol (TBP), который защитит от атак повторного воспроизведения. Злоумышленники используют их для кражи токенов OAuth и последующего доступа к защищенным ресурсам.

Разработка

Протокол связывает cookie-файлы HTTPS и токены OAuth с TLS. Для каждого подключения к серверу будут генерироваться закрытый и открытый ключи. Такое шифрование не позволит нарушителю передать их на сервер и провести атаку.

Чтобы экспортировать и воспроизвести привязанный токен безопасности, хакер должен получить закрытый ключ клиента. Сделать это трудно, если ключ специально защищен, например, сгенерирован в аппаратном модуле безопасности. Авторы разработали протокол, чтобы избежать добавления новых этапов в обычное рукопожатие TLS.

Созданием TBP v.1 занимаются Андрей Попов и Магнус Нистром (Magnus Nystroem) из Microsoft, а также Дирк Балфанз (Dirk Balfanz) и Джефф Ходжес (Jeff Hodges) из Google.

Напомним, что обнаруженная шесть лет назад уязвимость в OAuth стала причиной недавней фишинговой атаки на Google Docs.