Google и Microsoft анонсировали протокол для защиты токенов OAuth
Token Binding Protocol связывает cookie-файлы HTTPS и ключи OAuth с TLS. Такое шифрование не позволит хакерам экспортировать токены и провести атаку.
Инженерный совет Интернета (Internet Engineering Task Force, IETF) работает над протоколом Token Binding Protocol (TBP), который защитит от атак повторного воспроизведения. Злоумышленники используют их для кражи токенов OAuth и последующего доступа к защищенным ресурсам.
Разработка
Протокол связывает cookie-файлы HTTPS и токены OAuth с TLS. Для каждого подключения к серверу будут генерироваться закрытый и открытый ключи. Такое шифрование не позволит нарушителю передать их на сервер и провести атаку.
Чтобы экспортировать и воспроизвести привязанный токен безопасности, хакер должен получить закрытый ключ клиента. Сделать это трудно, если ключ специально защищен, например, сгенерирован в аппаратном модуле безопасности. Авторы разработали протокол, чтобы избежать добавления новых этапов в обычное рукопожатие TLS.
Созданием TBP v.1 занимаются Андрей Попов и Магнус Нистром (Magnus Nystroem) из Microsoft, а также Дирк Балфанз (Dirk Balfanz) и Джефф Ходжес (Jeff Hodges) из Google.
Напомним, что обнаруженная шесть лет назад уязвимость в OAuth стала причиной недавней фишинговой атаки на Google Docs.
722 открытий722 показов
Энтузиаст портировал легендарную DOOM 1993 года на банковский терминал. Причем неотъемлимая часть геймплея завязана на использовании карты
Alek OS рассказал, как с развитием технологий изменялись модели и алгоритмы шифрования данных, почему мощность компьютера — основная причина их устаревания и как компьютеры обмениваются ключами дешифровки.
На платформе доступны новые инструменты, ускоряющие разработку, реализован чат в GigaCode, а пользоваться GitVerse теперь может малый и средний бизнес.
Рассказали о мерах безопасности в 1С-Битрикс, которые обеспечат надежную работу всей системы. И показали, как настроить встроенные средства защиты и журналирования.