1. Dom
  2. Pytanie i odpowiedź
  3. Azure ACS - URL roszczeń ujawnionych w historii przeglądarki - luka w zabezpieczeniach?

Azure ACS - URL roszczeń ujawnionych w historii przeglądarki - luka w zabezpieczeniach?

2012-02-05 14 views
5

Znaleziono oficjalne demo ACS http://www.fabrikamshipping.com/ podczas badania na ACS.
W samej aplikacji, po zalogowaniu się u jednego z dostawców (wybrałem Google), widzę w historii przeglądarki adres URL zawierający roszczenia zwrócone z ACS. Jest to adres, który rozpoczyna się:Azure ACS - URL roszczeń ujawnionych w historii przeglądarki - luka w zabezpieczeniach?

https://fabrikamshipping.accesscontrol.windows.net/v2/openid?context=pr%3dwsfederation%26rm%3dhttp%253a%252f%252ffabrikamshipping%252fcons ...

Przechodzenie do tego URL loguje mnie w aplikacji, nawet po wyczyszczenie pamięci podręcznej przeglądarki i wszystkie ciasteczka.
Więc jeśli zaloguję się do aplikacji z jakiegoś publicznego komputera, a następnie wyloguję się, moje konto zostanie ujawnione, przechodząc do tego adresu URL w historii przeglądarki.

Wiem, że to jest standardowy sposób, w jaki działa obsługa tożsamości ACS.
Czego tu mi brakuje?

Źródło

2012-02-05 Yaron Levi

+0

Wielka obserwacja Yaron! Zamierzam dodać link do twojej dyskusji z członkami MSFT o tym tutaj, jeśli nie masz nic przeciwko. –

+0

Nawiasem mówiąc, ten sam problem dotyczy logowania do Facebooka poprzez ACS –

Odpowiedz

1

Nie brakuje. Ten adres URL zaloguje się, nawet wszystkie pliki cookie zostaną wyczyszczone. Jednak przechodząc na publiczny komputer musisz być bardziej ostrożny w kwestii swoich poświadczeń. Wyczyszczenie historii spowoduje wyczyszczenie tego adresu URL z historii przeglądarek.

Nie widzę też adresu URL roszczeń w mojej historii.

Innym sposobem ochrony danych osobowych jest użycie "In Private Browsing session" dla wybranej przeglądarki. Zauważ, że jest to bardzo trudne dla kogoś, nie wspominając o pamiętaniu tego adresu URL. Dostałeś to, ponieważ skopiowałeś z przeglądarki w momencie przekierowania.

Źródło

2012-02-06 07:59:39 astaykov

+0

Spróbuj użyć chrome, a zobaczysz adres URL w historii. Mimo to nie mogę tego zaakceptować. Jak ktokolwiek może korzystać z tożsamości ACS, gdy ma tak dużą lukę w zabezpieczeniach. Jeśli nie skorzystam z ACS i nie wprowadzę własnego loginu Google i Facebooka, taka luka w zabezpieczeniach nie będzie istnieć - użytkownicy mogą przejść do mojej witryny na publicznym komputerze i nie będą musieli pamiętać, aby wprowadzić ją w trybie prywatnym. –

+0

Hm, Właściwie, aby kontynuować rozmowę. Wygląda na to, że jest to tylko kwestia "wylogowania". Podczas korzystania z uwierzytelniania roszczeń i korzystania z dostawcy tożsamości adres URL roszczeń będzie działał tylko wtedy, gdy masz już sesję z wybranym dostawcą tożsamości. Jeśli wylogujesz się z dostawcy tożsamości - adres URL, który otrzymałeś, nie zaloguje Cię do aplikacji. – astaykov

+1

Czy próbowałeś sam? Zalogowałem się na fabrikamshipping.com. Następnie wyloguj się z mojego konta Google i wyczyść całą pamięć podręczną przeglądarki i pliki cookie, aby się upewnić. Zamknij przeglądarkę. Otwórz go ponownie i przejdź do adresu URL roszczenia - jesteś w sieci. –

Powiązane problemy

 Powiązane problemy