为什么auth0锁的嵌入式版本(“覆盖”、“嵌入”)被认为是安全的?
如果您在https://auth0.com/lock/向下滚动到模式,它将显示多个模式:“覆盖”、“嵌入”、“托管”和“移动就绪”。我被允许嵌入来自auth0的登录以显示在我的站点上(而不是重定向到他们的站点托管他们的登录服务)。
盗贼可以很容易地伪造登录的布局,不是吗?我认为,终端用户只有通过在假网站上输入凭据才能确保他们的凭据不被窃取,前提是最终用户可以将当前站点的url与其帐户所在的站点/他想要锁定的服务进行比较。为什么auth0仍然提供我嵌入他们的登录到我的网站?
我的意思是,在互联网上有一些网站,你相信不会窃取你的auth0 (或任何其他auth0提供的登录服务)凭证,但他们提供给每个人。
回答 2
Security用户
发布于 2016-11-17 20:02:46
为什么auth0仍然提供我嵌入他们的登录到我的网站?
auth0提供的身份验证系统不允许用户输入"auth0客户凭据“。相反,凭据对于嵌入表单的站点是唯一的。
您是正确的,只有当您信任承载它的页面时,才能在嵌入式表单中输入您的登录详细信息。这就是为什么像“使用Google登录”这样的社交登录功能总是将您重定向到社会身份提供者的安全登录页面,而不应该要求您在初始(可能不受信任)页面上直接输入凭据。
Security用户
发布于 2016-11-17 22:54:47
您的Auth0客户端可以选择配置允许的来源--这决定了允许哪些源执行资源所有者密码授予流(即主动身份验证),因为这些流是通过向Auth0发出跨源请求来执行的。这样,与原始网站不同来源的攻击者不能欺骗您的登录端点,至少不是直接的,但是他们仍然可能通过捕获用户凭据来窃取用户的凭据。
我们计划推出禁用特定客户端资源所有者密码授予的选项,但到目前为止,可以通过使用规则来限制这些登录:
function (user, context, callback) {
if (context.protocol === 'oauth2-resource-owner') {
return callback(
new UnauthorizedError('The resource owner endpoint cannot be used.'));
}
callback(null, user, context);
}正如您所指出的,执行身份验证的更安全的方法是将用户重定向到标识提供者。Auth0也支持这一点,并在可能的情况下成为我们推荐的选项。
https://security.stackexchange.com/questions/142909
复制相似问题
腾讯云开发者
