Madumok

Mitigación de la suplantación de identidad en OAuth 2 0 Parte I de II OAuth2 es uno de los protocolos de autorizaci�n/single sign-on ( SSO ) m�s extendidos en Internet sobre el que adem�s se basa el est�ndar de autenticaci�n OpenID Connect . Es su gran difusi�n y aceptaci�n lo que provocar�a que el descubrimiento de un nuevo vector de ataque contra dicho protocolo tuviera un gran impacto. Hasta la fecha, los an�lisis realizados sobre OAuth2 basan sus vectores de ataque en las consideraciones de seguridad ya descritas en la propia especificaci�n del protocolo, como por ejemplo, los par�metros que deber�an ser saneados por el servidor de autorizaci�n como la URL de redirecci�n o la suplantaci�n del usuario. Figura 1: Mitigaci�n de la suplantaci�n de identidad en OAuth 2.0 Con vistas a mitigar los vectores de ataque conocidos sobre OAuth2 , en este trabajo se desarrollar� una posible soluci�n basada en mecanismos de identificaci�n de cliente y tokens autocontenidos. Por un lado, los ...

Mitigación de la suplantación de identidad en OAuth 2 0 Parte II de II En esta segunda parte del art�culo se detallar� la soluci�n propuesta con vistas a mitigar los vectores de ataque sobre el protocolo OAuth2 descritos en la primera parte de este art�culo. Dicha soluci�n se divide en dos partes claramente identificadas y complementarias: autenticaci�n basada en riesgos gracias a mecanismos de identificaci�n de cliente, y generaci�n de tokens autocontenidos por el servidor de autorizaci�n. Figura 12: Mitigaci�n de la suplantaci�n de identidad en OAuth 2.0 (Parte 2 de 2) Para la primera parte de la soluci�n, al utilizar mecanismos de identificaci�n de cliente para llevar a cabo la autenticaci�n basada en riesgos, lo cual puede considerarse como una violaci�n de la privacidad del usuario, tomaremos como base la legislaci�n vigente de Espa�a , m�s concretamente la Ley 34/2002 , de 11 de julio, de servicios de la sociedad de la informaci�n y de comercio electr�nico [ ref: BOE-A-2002-137...