Mobil uygulamalarda OAuth sırları

OAuth protokolünü kullanırken, temsilci vermek istediğiniz hizmetten elde edilen gizli bir dizeye ihtiyacınız vardır. Bunu bir web uygulamasında yapıyorsanız, sırrınızı veri tabanınızda veya dosya sisteminde saklayabilirsiniz, ancak bir mobil uygulamada (veya bu konu için bir masaüstü uygulamasında) ele almanın en iyi yolu nedir?

Dizeyi uygulamada saklamak, birinin kolayca bulup kötüye kullanabileceği için iyi değildir.

Başka bir yaklaşım, sunucunuzda depolamak ve uygulamanın her çalıştırmada almasını sağlamaktır, asla telefonda saklamamaktır. URL, uygulamaya dahil etmeniz gerektiğinden bu neredeyse kötüdür.

Gelebileceğim tek uygulanabilir çözüm, önce Erişim Jetonunu normal olarak (tercihen uygulamanın içinde bir web görünümü kullanarak) elde etmek ve daha sonra, sırrı istek verilerine ekleyecek ve iletişim kuracak olan diğer tüm iletişimleri sunucumuz üzerinden yönlendirmektir. sağlayıcı ile. Sonra tekrar, ben bir güvenlik çaylakıyım, bu yüzden bilgili insanların bu konudaki fikirlerini duymak istiyorum. Bana öyle geliyor ki, çoğu uygulama güvenliği garanti etmek için bu uzunluklara gidiyor (örneğin, Facebook Connect, sırrı uygulamanızda bir dizeye koyduğunuzu varsayıyor gibi görünüyor).

Başka bir şey: Sırrın başlangıçta Erişim Simgesini istemede rol oynadığına inanmıyorum, bu yüzden kendi sunucumuzu dahil etmeden yapılabilir. Doğrumuyum?

Evet, bu karşılaştığımız OAuth tasarımı ile ilgili bir sorundur. Tüm çağrıları kendi sunucumuz aracılığıyla proxy yapmayı seçtik. OAuth, masaüstü uygulamaları açısından tamamen temizlenmedi. OAuth'u değiştirmeden bulduğum soruna mükemmel bir çözüm yok.

Bunu düşünür ve neden sırlarımız olduğunu sorarsanız, çoğunlukla uygulama sağlamak ve devre dışı bırakmak içindir. Sırrımız tehlikeye girerse, sağlayıcı yalnızca tüm uygulamayı gerçekten iptal edebilir. Sırrımızı masaüstü uygulamasına gömmek zorunda olduğumuz için sorta vidalıyız.

Çözüm, her masaüstü uygulaması için farklı bir sır elde etmektir. OAuth bu konsepti kolaylaştırmıyor. Bunun bir yolu, kullanıcının gidip kendi başına bir sır oluşturması ve anahtarı kendi başına masaüstü uygulamanıza girmesidir (bazı facebook uygulamaları uzun bir süre benzer bir şey yaptı, kullanıcının özel quizlerini ayarlamak için facebook oluşturmasını ve bok). Kullanıcı için harika bir deneyim değil.

OAuth için bir delegasyon sistemi önerisi üzerinde çalışıyorum. Kavram, sağlayıcımızdan aldığımız kendi gizli anahtarımızı kullanarak, kendi masaüstü istemcilere (temel olarak her masaüstü uygulaması için bir tane) kendi temsil edilen sırrımızı verebiliriz ve ardından kimlik doğrulama işlemi sırasında bu anahtarı en üst seviyeye gönderebiliriz Bizi geri arayan ve bizimle tekrar doğrulayan sağlayıcı. Bu şekilde, her bir masaüstü istemcisine verdiğimiz sırları iptal edebiliriz. (Bunun nasıl çalıştığını SSL'den ödünç almak). Bu tüm sistem, üçüncü taraf bir web servisine çağrıları ileten katma değerli web servisleri için de geçerlidir.

Üst düzey sağlayıcı yeni yetki verilen sırları oluşturmak ve iptal etmek için bir API sağlarsa, işlem yetki devri doğrulama geri çağrıları olmadan da yapılabilir. Facebook, facebook uygulamalarının kullanıcıların alt uygulamalar oluşturmasına izin vererek benzer bir şey yapıyor.

Bu konu hakkında çevrimiçi bazı görüşmeler var:

http://blog.atebits.com/2009/02/fixing-oauth/ http://groups.google.com/group/twitter-development-talk/browse_thread/thread/629b03475a3d78a1/de1071bf4b820c14#de1071bf4b820c14

Twitter ve Yammer'ın çözümü bir kimlik doğrulama pin çözümüdür: https://dev.twitter.com/oauth/pin-based https://www.yammer.com/api_oauth_security_addendum.html

OAUth 2.0 ile sırrı sunucuda saklayabilirsiniz. Daha sonra uygulamaya taşıdığınız bir erişim belirteci almak için sunucuyu kullanın ve uygulamadan doğrudan kaynağa çağrı yapabilirsiniz.

OAuth 1.0 (Twitter) ile, API çağrıları yapmak için sır gereklidir. Sırrı tehlikeye atmamak için sunucu aracılığıyla çağrıları proxy yapmak yeterlidir.

Her ikisi de, sunucu bileşeninizin istemcinizin onu çağırdığını bildiği bir mekanizma gerektirir. Bu, sunucunuza yapılan çağrıda bir tür uygulama kimliği almak için kurulum ve platforma özgü bir mekanizma kullanılarak yapılma eğilimindedir.

(OAuth 2.0 spesifikasyonunun editörüyüm)

Bir çözüm, OAuth sırrını koda zor kodlamak olabilir, ancak düz bir dize olarak değil . Bir şekilde gizleyin - segmentlere ayırın, karakterleri bir ofsetle kaydırın, döndürün - bunların herhangi birini veya tümünü yapın. Bir kraker bayt kodunuzu analiz edebilir ve dizeleri bulabilir, ancak gizleme kodunu bulmak zor olabilir.

Kusursuz bir çözüm değil, ucuz bir çözüm.

İstismarın değerine bağlı olarak, bazı dahi krakerler gizli kodunuzu bulmak için daha uzun sürebilir. Önceden bahsedilen sunucu tarafı çözümünün maliyeti, krakerlerin gizli kodunuzu bulmak için daha fazla çaba harcaması için teşvik edici ve uygulayabileceğiniz karışıklığın karmaşıklığını tartmanız gerekir.

Sırrı uygulamanın içinde saklamayın.

Uygulama tarafından https üzerinden erişilebilecek bir sunucuya sahip olmanız gerekir (açıkçası) ve sırrını saklarsınız.

Birisi mobil / masaüstü uygulamanız üzerinden giriş yapmak istediğinde, uygulamanız isteği sunucuya yönlendirir, daha sonra sırrı ekler ve servis sağlayıcıya gönderir. Sunucunuz daha sonra uygulamanızın başarılı olup olmadığını söyleyebilir.

Ardından, hizmetten (facebook, google, twitter vb.) Herhangi bir hassas bilgi almanız gerekiyorsa, uygulama sunucunuza sorar ve sunucunuz bunu yalnızca doğru bağlandığında uygulamaya verecektir.

Bir sunucuda saklamak dışında gerçekten herhangi bir seçenek yoktur. İstemci tarafında hiçbir şey güvenli değil.

Not

Bununla birlikte, bu yalnızca sizi kötü niyetli istemciye karşı koruyacak, ancak istemciyi diğer kötü amaçlı istemcilere karşı değil, kötü niyetli istemcilere karşı koruyamayacaktır (kimlik avı) ...

OAuth tarayıcıda masaüstü / mobilden çok daha iyi bir protokoldür.

Yetkilendirme Kodu Verme Türü'ne , Kod Değişimi için Prova Anahtarı (PKCE) adı verilen yeni bir uzantı var . Bununla birlikte, bir müşteri sırrına ihtiyacınız yoktur.

PKCE (RFC 7636), istemci sırrı kullanmayan genel müşterileri güvence altına almak için kullanılan bir tekniktir.

Öncelikle yerel ve mobil uygulamalar tarafından kullanılır, ancak teknik herhangi bir genel istemciye de uygulanabilir. Yetkilendirme sunucusu tarafından ek destek gerektirir, bu nedenle yalnızca belirli sağlayıcılarda desteklenir.

dan https://oauth.net/2/pkce/

Daha fazla bilgi için, tamamını okuyabilirsiniz RFC 7636'nın veya bu kısa tanıtımı .

Düşünecek bir şey var. Google, etki alanını kaydettiğiniz ve benzersiz bir anahtar oluşturduğunuz web uygulamaları için ve "anonim" anahtarını kullandığınız yüklü uygulamalar için iki OAuth ... yöntemi sunar.

Belki de okumadaki bir şeyin üzerine gittim, ancak web uygulamanızın benzersiz anahtarını yüklü bir uygulamayla paylaşmanın, resmi yüklü uygulamalar yönteminde "anonim" kullanmaktan daha güvenli olduğu anlaşılıyor.

OAuth 2.0 ile bir erişim belirteci elde etmek için istemci tarafı akışını kullanabilir ve daha sonra bu erişim belirtecini diğer tüm isteklerin kimliğini doğrulamak için kullanabilirsiniz. O zaman bir sırrı gerekmez.

Bunu nasıl uygulayacağınıza ilişkin güzel bir açıklama burada bulunabilir: https://aaronparecki.com/articles/2012/07/29/1/oauth2-simplified#mobile-apps

OAuth ile tonlarca deneyimim yok - ancak her istek yalnızca kullanıcının erişim belirtecini değil, aynı zamanda bir uygulama tüketici anahtarını ve sırrını da gerektirmiyor mu? Bu nedenle, bir kişi bir mobil cihazı çalar ve cihazdan veri çekmeye çalışsa bile, gerçekte her şeyi yapabilmek için bir uygulama anahtarına ve sırrına da ihtiyaçları olacaktır.

Her zaman OAuth'un arkasındaki niyetin öyle olduğunu düşündüm ki, bir karma olan her Tom, Dick ve Harry, Twitter kimlik bilgilerinizi açık bir şekilde saklamak zorunda değildi. Bence bu sorunu sınırlamalarına rağmen oldukça iyi çözüyor. Ayrıca, iPhone göz önünde bulundurularak gerçekten tasarlanmamıştı.

Felixyz ile aynı fikirdeyim. OAuth, Basic Auth'dan daha iyi olsa da, mobil uygulamalar için iyi bir çözüm olmak için hala uzun bir yol var. Bir Google App Engine uygulamasında bir cep telefonu uygulamasının kimliğini doğrulamak için OAuth'u kullanıyorum. Mobil cihazdaki tüketici sırrını güvenilir bir şekilde yönetememeniz, varsayılanın 'anonim' erişimi kullanmak olduğu anlamına gelir.

Google App Engine OAuth uygulamasının tarayıcı yetkilendirme adımı sizi aşağıdaki gibi metinler içeren bir sayfaya götürür: "<some-site> sitesi, aşağıda listelenen ürünler için Google Hesabınıza erişim istiyor"

Uygulamanız (yourapp.appspot.com) - Google ile bağlantısı yoktur

vb

<some-site>, geri aramayı durdurmak için özel bir şema kullanırsanız, Android'de herhangi bir şey olabilecek, sağladığınız geri arama URL'sinde kullanılan alan / ana bilgisayar adından alır. Dolayısıyla, 'anonim' erişim kullanırsanız veya tüketici sırrınız tehlikeye atılırsa, herhangi biri kullanıcıyı gae uygulamanıza erişim izni vermek üzere kandıracak bir tüketici yazabilir.

Google OAuth yetkilendirme sayfası, 'anonim', tüketici sırrı veya genel anahtarlar kullanmanıza bağlı olarak 3 önem derecesine sahip çok sayıda uyarı içerir.

Teknik açıdan anlayışlı olmayan ortalama bir kullanıcı için oldukça korkutucu şeyler. Bu tür şeylerle kayıt olma oranının yüksek olmasını beklemiyorum.

Bu blog gönderisi, tüketici sırlarının yüklü uygulamalarla gerçekten nasıl çalışmadığını açıklar. http://hueniverse.com/2009/02/should-twitter-discontinue-their-basic-auth-api/

Ayrıca mobil OAuth kimlik doğrulaması için bir çözüm bulmaya çalışıyorum ve genel olarak uygulama paketinde sırları saklıyorum.

Ve çılgın bir fikir bana çarptı: En basit fikir, sırrı ikili dosya içinde saklamak, ancak bir şekilde gizlenmiş ya da başka bir deyişle şifrelenmiş bir sır saklamaktır. Yani bu, sırrınızın şifresini çözmek için bir anahtar saklamanız gerektiği anlamına geliyor, bu da bizi tam anlamıyla ele geçirmiş görünüyor. Ancak, neden yalnızca işletim sisteminde olan bir anahtarı kullanmıyorsunuz, yani uygulamanız tarafından değil işletim sistemi tarafından tanımlanıyor.

Yani, fikrimi açıklığa kavuşturmak için, işletim sistemi tarafından tanımlanmış bir dize seçmeniz, hangisinin olduğu önemli değil. Ardından anahtar olarak bu dizeyi kullanarak sırrınızı şifreleyin ve bunu uygulamanızda saklayın. Sonra çalışma zamanı sırasında, yalnızca bir OS sabiti olan anahtarı kullanarak değişkenin şifresini çözün. İkili dosyalarınıza bakan herhangi bir hacker şifrelenmiş bir dize görür, ancak anahtar görmez.

Çalışacak mı?

Burada oAuth bilgilerinizi mobil uygulamada saklamanın güvenli yoluna cevap verdim

https://stackoverflow.com/a/17359809/998483

https://sites.google.com/site/greateindiaclub/mobil-apps/ios/securelystoringoauthkeysiniosapplication

Facebook OAuth'u kesinlikle konuşmuyor (henüz), ancak sırrınızı iPhone uygulamanıza gömmemeniz için bir yol uyguladılar: https://web.archive.org/web/20091223092924/http://wiki. developers.facebook.com/index.php/Session_Proxy

OAuth'a gelince, evet, ne kadar çok düşünürsek, biraz doldurulur. Belki bu sorunu düzeltir.

Bu çözümlerin hiçbiri, belirlenen bir bilgisayar korsanının http başlıklarındaki istemci sırrını görüntülemek için mobil aygıtlarından (veya öykünücüsünden) gönderilen paketleri koklamasını engellemez.

Bir çözüm, özel 2 yönlü şifreleme anahtarı ve algoritması ile şifrelenmiş bir zaman damgasından oluşan dinamik bir sırrı olabilir. Hizmet daha sonra sırrın şifresini çözer ve zaman damgasının +/- 5 dakika olup olmadığını belirler.

Bu şekilde, gizlilik tehlikede olsa bile, bilgisayar korsanı bunu en fazla 5 dakika kullanabilecektir.

Diğerlerinin de belirttiği gibi, sırrı cihazda yerel olarak saklamakla ilgili gerçek bir sorun olmamalıdır.

Bunun da ötesinde, her zaman Android'in UNIX tabanlı güvenlik modeline güvenebilirsiniz: dosya sistemine yazdıklarınıza yalnızca uygulamanız erişebilir. Bilgileri uygulamanızın varsayılan SharedPreferences nesnesine yazmanız yeterlidir.

Sırrı elde etmek için, Android telefona root erişimi elde etmek gerekir.