Google и Microsoft анонсировали протокол для защиты токенов OAuth
Token Binding Protocol связывает cookie-файлы HTTPS и ключи OAuth с TLS. Такое шифрование не позволит хакерам экспортировать токены и провести атаку.

Инженерный совет Интернета (Internet Engineering Task Force, IETF) работает над протоколом Token Binding Protocol (TBP), который защитит от атак повторного воспроизведения. Злоумышленники используют их для кражи токенов OAuth и последующего доступа к защищенным ресурсам.
Разработка
Протокол связывает cookie-файлы HTTPS и токены OAuth с TLS. Для каждого подключения к серверу будут генерироваться закрытый и открытый ключи. Такое шифрование не позволит нарушителю передать их на сервер и провести атаку.
Чтобы экспортировать и воспроизвести привязанный токен безопасности, хакер должен получить закрытый ключ клиента. Сделать это трудно, если ключ специально защищен, например, сгенерирован в аппаратном модуле безопасности. Авторы разработали протокол, чтобы избежать добавления новых этапов в обычное рукопожатие TLS.
Созданием TBP v.1 занимаются Андрей Попов и Магнус Нистром (Magnus Nystroem) из Microsoft, а также Дирк Балфанз (Dirk Balfanz) и Джефф Ходжес (Jeff Hodges) из Google.
Напомним, что обнаруженная шесть лет назад уязвимость в OAuth стала причиной недавней фишинговой атаки на Google Docs.