Я создаю расширение chrome, где я планирую использовать поток клиентской стороны OAuth2 для аутентификации. Согласно спецификациям для google и facebook, когда я использую поток на стороне клиента, я получаю токен доступа как часть хэш-части redirect_uri. Теперь мой вопрос заключается в следующем:> что, если расширение-изгои передает этот токен доступа другому расширению на какой-либо другой машине, который затем использует этот токен доступа для получения сведений о пользователе? Я довольно новичок в разработке веб-сайтов и приветствую вас, если бы кто-то мог прояснить это сомнение для меняВозможная дыра безопасности на стороне клиента OAuth2 поток для Google и Facebook
2
A
ответ
1
Реализация Facebook OAuth2 требует, чтобы вы использовали SSL (https), что означает, что другие люди не могут видеть этот токен, если вы явно не отдаете его им за пределы самого браузера (или, как указано, с помощью плагина зла).
Там отличный пост на эту тему здесь: http://www.sociallipstick.com/?p=239
2
Расширения Chrome изолированы песочницей и данные, сохраненные в вашем расширении, не могут быть доступны другим расширением.
1
Да, расширение Chrome имеет возможность нюхать ваши пароли, OAuth маркер и т.д., если пользователь выбирает, чтобы установить их и предоставить им разрешение, чтобы сделать это. Вы должны быть осторожны, какие расширения вы выбираете для установки!
Смежные вопросы
- 1. Google Oauth2: Обновление id_token на стороне клиента
- 2. Вход для приложения на стороне клиента OAuth2 для Google Диска
- 3. Вопросы безопасности на стороне клиента аутентификации OAuth
- 4. Google OAuth2 Поток на стороне сервера Веб-приложение в Java
- 5. Как передать google Oauth2 access_token, приобретенный на стороне сервера, для инициализации библиотеки JavaScript на стороне клиента?
- 6. Rikulo на стороне клиента на стороне клиента
- 7. Рекомендации по безопасности OAuth2 для client_id
- 8. Поддерживается ли Google поток при использовании на стороне клиента?
- 9. Google oauth2 и 400 плохой запрос: ошибка на стороне Google?
- 10. Проблема безопасности WCF на стороне клиента
- 11. отладка на стороне клиента на стороне клиента
- 12. Серверные запросы и XMLHttpRequest (на стороне клиента) и безопасности
- 13. На стороне сервера и на стороне клиента
- 14. Возможно ли использовать один токен доступа на стороне сервера и на стороне клиента одновременно в Oauth2?
- 15. Означает ли смысл безопасности для хэш-пароля на стороне клиента
- 16. Что такое секрет клиента для Google OAuth2?
- 17. Google oAuth2 поток - что я делаю неправильно?
- 18. Запрос на стороне клиента на стороне клиента
- 19. Программирование на стороне клиента на стороне клиента и сервера
- 20. Является ли поток аутентификации на стороне клиента с помощью redirect_uri borken?
- 21. Oauth2 Client весной безопасности
- 22. Почему printf (inputString) - дыра в безопасности?
- 23. Учетные данные Google Analytics на стороне клиента
- 24. OAuth2 поток для расширения Chrome
- 25. сомнения на стороне клиента
- 26. Проверка маркера OAuth2 Gmail и обмана клиента
- 27. Журнал безопасности Spring OAuth2
- 28. Ограничение скорости Facebook API - на стороне сервера и на стороне клиента
- 29. Совмещенного FaceBook клиента и на стороне сервера authenticaion
- 30. Google Maps API v3 на стороне клиента?
Если ваши расширения передают данные другой службе (без знания пользователей), ваше расширение является злым. Если ваше расширение использует ** любые ** пользовательские данные, если пользователь не знает об этом, ваше расширение является злым. Чтобы уточнить: ** не злой ** – Lix
@ Lix извините, я думаю, вы неправильно поняли мой вопрос. Я обновил свой вопрос. то, что я хотел спросить, это не ошибка безопасности в потоке клиентской стороны oauth, поскольку она зависит только от токенов доступа. Случайное расширение может передавать токены доступа другим машинам, которые могли бы использовать его для получения моих данных без моего ведома. Мне просто интересно, может ли такое произойти или нет, и никоим образом не собиралось его реализовывать. –
Хорошо, это немного очищает. Я не 100% уверен в характере расширения, так как я не знаю, как они структурированы и как они могут общаться друг с другом. Если это расширение имеет серверный сервер, выполняющий некоторые действия, то, возможно, для расширения каких-либо конфиденциальных данных может не потребоваться расширение. – Lix