如何解决OAuth 2.0 PKCE Flow不会为伪装/网络钓鱼攻击打开大门吗?
借助OAuth 2.0 PKCE Flow for Installed App(例如桌面应用程序/ cli / client库),似乎没有什么可以阻止攻击者:
- 使用原始应用获取
client_id
(client_id是公开的,可以从浏览器栏/源代码轻松复制) - 制作假冒应用程序以模仿原始应用程序
- 使用虚假应用诱使用户授予访问权限,从而获得刷新令牌,这实际上意味着在请求范围内的完全访问权限
没有PKCE,很难伪造一个应用并获得刷新令牌,因为这将要求攻击者获得client_secret
。在我看来,尽管PKCE改进了隐式流的安全性,但它使伪装使用OAuth 2.0的真实应用变得如此容易吗?
我正在使用googlecloudsdk(gcloud),它似乎已将client_id(甚至很多client_id/client_secret pairs)硬编码到源代码中,并分发给客户端。我怀疑是否有任何方法可以阻止攻击者伪造gcloud,从而获得对用户GCP环境的访问权限(为证明起见,运行gcloud auth login
,它将在控制台中显示攻击者所需的URL。)有人可以澄清/帮助我吗?了解发生了什么事?
解决方法
私有URI方案可能是您在台式机上可以做的最好的方案,但并不完美。这就是我用于Desktop Code Sample的方式,但理想情况下,我也想解决以上问题。
对于移动设备,您可以使用“声明的HTTPS方案”解决问题-请参阅我添加到发送的sllopis后的答案。
我会意识到Updated OAuth 2.1 Guidance for Native Apps-请参阅第10节-但我认为您无法完全解决此问题。
期望最终用户在安装桌面应用程序时要格外小心,以减少这种情况下的风险。希望操作系统支持将在将来提供更好的加密选项。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。