(Tehdit senaryo daha tam olarak). ortada adam gizli dinleme (- - -> şifrelemek olmalı) (-> diğer tarafa doğrulaması gerekir) -
en yaygın tehditlerden bazıları vardır ... seninki nelerdir? ilk başta
bir çerez sadece bazen başarılı bir kimlik doğrulaması yapmış kanıtı olarak bir belirteç tutar (.... çerez deposu nasıl güvenlidir). Eğer cookie yeterince uzunsa veya şifrelenmemişse, o zaman birisinin iyi bir şansı var demektir ...
Ayrıca, önce ve en önemlisi hangi ek güvenlik önlemlerinin alındığını dikkate almalısınız. SSL. Kimlik doğrulama yöntemi (bir istemci oturum açma ihtiyacı var neyi kimlik) Ne
mı? PPK altyapısına dayalı olarak kimlik doğrulama ile çalışmak veya "ad-hoc" iletişim kurmak mümkün mü?
DÜZENLEME
Wrt. OpenAuth'a: protokolü anladığım kadarıyla ana endişe kimlik doğrulama delegasyonu. Bir aracı başka bir kimlik adına belirli bir görevi yerine getirme yetkisi veren bir senaryo. Bu şekilde, tüm kimlik bilgilerinizi web üzerinden dağıtmazsınız. OpenAuth'unuz yerinde ise, bir istemci de doğrudan protokolü kullanabilir. Öyleyse neden başka bir tane eklemeyi tercih ederim. Ama OpenAuth açıkça doğrudan istemci senaryosu ile tekrar jetonu cihazda kullanılabilir şimdi sıra güvenlik sorunları çalıştırmak ve (eğer çerezinizle yapmak gerekir gibi) buna göre korunması gerektiğini belirtmektedir. Cevabınız için
teşekkürler. Güvenli tarayıcı (SSL) ve makul bir son kullanma politikası kullandığımızı varsayalım, tıpkı web tarayıcılarında olduğu gibi, bunun iyi olması gerektiğini söylüyorsunuz? Genellikle bir POST isteği ile yapıldığı gibi sadece kullanıcı/pass gönderiyoruz. – Karan
Ayrıca, "ad-hoc" ile ne demek istediğini anlayamadığımdan emin değilim. Kabul edilen yol, OAuth/XAuth gibi bir simge kullanmaktır, ancak bu sorunun amacı, çerezlerin yeterli olup olmadığını görmek ve eğer olmasa da, neden olmasın? – Karan
Sesion/cookie çalmak sizin için bir sorun değilse, bu iyi görünüyor. – mtraut