我最近在OAuth上做了一些工作,我不得不說我非常喜歡它。我喜歡這個概念,並且我喜歡它爲您的用戶提供了一個低限度的入口以將外部數據連接到您的網站(或者爲您提供外部消費的數據apis)。就我個人而言,我總是會拒絕那些要求我直接向他們提供我的另一個網站登錄信息的網站。 OAuth「網絡代客鑰匙」方法很好地解決了這個問題。OAuth和網絡釣魚漏洞是否被無情地捆綁在一起?
我(和許多其他人)看到的最大問題是,標準的OAuth工作流程鼓勵釣魚攻擊對他們有利的相同類型的行爲。如果您訓練用戶認爲正常行爲被重定向到提供登錄憑據的站點,那麼釣魚網站很容易利用這種正常行爲,而是將其重定向到他們的克隆網站,並在其中捕獲您的用戶名和密碼。
什麼,如果有的話,你做了(或看到完成),以緩解這個問題?
您是否告訴用戶手動登錄到提供站點,而無需自動鏈接或重定向? (但是這會增加進入的障礙)
您是否嘗試教育您的用戶,如果是,何時以及如何進行教育?用戶必須閱讀的關於安全性的任何冗長的解釋也增加了進入的障礙。
還有什麼?
該網站應該知道他們,但是這是如何工作的釣魚 - 他們創造一個看起來像我克隆。我想最終取決於用戶是否聰明,但是盡我們所能來緩解這些問題可能會有一段很長的路要走。我只是不知道我們可以爲OAuth /網上誘騙做些什麼...... – Matt 2010-02-01 20:52:30