Zcizení ověřovacích tokenů

Programování pro mobilní telefony, hodinky, Android, iOS, Windows Phone

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod smartan 16. 3. 2016 07:18

Zdravím,
jsem v tomto laik a proto se ptám, zda je možný následující scénář:

- mobilní aplikace (Android) žádá přístup ke Google službám (např. Google Drive) přes autorizovaný přístup
- našel jsem princip autorizace zde: https://support.google.com/a/answer/2538798?hl=en
- diagram komunikace je zde: http://www.google.com/support/enterpris ... iagram.png

Je možné během tohoto autentizačního procesu pro dané zařízení a danou aplikaci ukrást ověřovací tokeny a dostat se k datům (např. do Google Drive) odjinud / z jiného zařízení?

Nakolik reálná je tato možnost zcizení autorizace?

Děkuji za fundované odpovědi!
smartan
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 16. 3. 2016 08:11

Teoreticky? Ano, za splneni mnoha slozitych podminek.

Prakticky? Ne.

Pokud nemas na Google Drive dokumenty, ktere by mohly spustit treti svetovou valku (a to by byl velky nerozum), tak se toho nemusis bat.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod smartan 16. 3. 2016 09:02

Platí to i pro vývojáře oné aplikace, že si autentizační tokeny "neodposlechne" a nesestaví si autentizované spojení "bokem" u sebe?

Děkuji.
smartan
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 16. 3. 2016 12:35

To se priznam, ze nevim. OAuth2 jsem nikdy neimplementoval, takze netusim, jake je riziko zneuziti tokenu. Urcite je mozne je zneplatnit ze strany uzivatele, ale nakolik je mozne "zkopirovat" token mimo aplikaci nevim.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod smartan 18. 3. 2016 12:29

Přesto děkuji. Nevíte ještě někdo náhodou?

Nebo alespoň odkaz na nějaké (například anglicky mluvící) fórum, kde bych se mohl zeptat?
smartan
Kolemjdoucí


Odeslat příspěvekod smartan 18. 3. 2016 13:01

Dobře, prostuduji.

Díky za čas věnovaný mému dotazu!
smartan
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 18. 3. 2016 13:18

Za malo! Rad bych se na to podival hloubeji, ale momentalne to k nicemu nepotrebuju a zase tolik casu nemam :(
JirkaVejrazka
Mírně pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník