gpt4 book ai didi

oauth-2.0 - OAuth 2.0 PKCE Flow 不会为伪装/网络钓鱼攻击打开大门吗?

转载 作者:行者123 更新时间:2023-12-04 17:24:11 26 4
gpt4 key购买 nike

使用 OAuth 2.0 PKCE Flow for Installed App(例如桌面应用程序/cli/客户端库),似乎没有什么可以阻止攻击者:

  • 获取 client_id通过使用原始应用程序(client_id 是公开的,可以很容易地从浏览器栏/源代码中复制)
  • 制作一个假应用来模仿原始应用
  • 使用虚假应用程序诱使用户授予访问权限,从而获得刷新 token ,这实际上意味着在请求范围内的完全访问权限

  • 如果没有 PKCE,就很难伪造应用程序并获取刷新 token ,因为这需要攻击者获取 client_secret .在我看来,虽然 PKCE 提供了对隐式流的安全改进,但它使伪装使用 OAuth 2.0 的真实应用程序变得如此容易?
    我正在使用 googlecloudsdk (gcloud),它似乎有 client_id (甚至许多 client_id/client_secret pairs )硬编码到源代码中,然后分发给客户端。我怀疑有什么可以阻止攻击者伪造 gcloud 从而获得对用户 GCP 环境的访问权限(为了证明,运行 gcloud auth login 它将在控制台中显示攻击者需要的 URL。)任何人都可以澄清/帮助我理解这是怎么回事?

    最佳答案

    私有(private) URI 方案可能是您在桌面上可以做的最好的,但并不像您所说的那样完美。这是我用的 Desktop Code Sample ,但理想情况下,我也想解决上述问题。
    对于移动设备,您可以使用 Claimed HTTPS Schemes 来解决问题 - 请参阅我添加到发送的帖子中的答案。
    我会知道 Updated OAuth 2.1 Guidance for Native Apps - 见第 10 节 - 但我认为你不能完全解决这个问题。
    最终用户应该小心他们安装的桌面应用程序,以降低这种情况的风险。希望操作系统支持将在 future 启用更好的加密选项。

    关于oauth-2.0 - OAuth 2.0 PKCE Flow 不会为伪装/网络钓鱼攻击打开大门吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64436989/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com