Stránka 1 z 1

Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 16. 3. 2016 07:18
od smartan
Zdravím,
jsem v tomto laik a proto se ptám, zda je možný následující scénář:

- mobilní aplikace (Android) žádá přístup ke Google službám (např. Google Drive) přes autorizovaný přístup
- našel jsem princip autorizace zde: https://support.google.com/a/answer/2538798?hl=en
- diagram komunikace je zde: http://www.google.com/support/enterpris ... iagram.png

Je možné během tohoto autentizačního procesu pro dané zařízení a danou aplikaci ukrást ověřovací tokeny a dostat se k datům (např. do Google Drive) odjinud / z jiného zařízení?

Nakolik reálná je tato možnost zcizení autorizace?

Děkuji za fundované odpovědi!

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 16. 3. 2016 08:11
od JirkaVejrazka
Teoreticky? Ano, za splneni mnoha slozitych podminek.

Prakticky? Ne.

Pokud nemas na Google Drive dokumenty, ktere by mohly spustit treti svetovou valku (a to by byl velky nerozum), tak se toho nemusis bat.

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 16. 3. 2016 09:02
od smartan
Platí to i pro vývojáře oné aplikace, že si autentizační tokeny "neodposlechne" a nesestaví si autentizované spojení "bokem" u sebe?

Děkuji.

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 16. 3. 2016 12:35
od JirkaVejrazka
To se priznam, ze nevim. OAuth2 jsem nikdy neimplementoval, takze netusim, jake je riziko zneuziti tokenu. Urcite je mozne je zneplatnit ze strany uzivatele, ale nakolik je mozne "zkopirovat" token mimo aplikaci nevim.

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 18. 3. 2016 12:29
od smartan
Přesto děkuji. Nevíte ještě někdo náhodou?

Nebo alespoň odkaz na nějaké (například anglicky mluvící) fórum, kde bych se mohl zeptat?

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 18. 3. 2016 12:59
od JirkaVejrazka

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 18. 3. 2016 13:01
od smartan
Dobře, prostuduji.

Díky za čas věnovaný mému dotazu!

Re: Zcizení ověřovacích tokenů

Odeslat příspěvekNapsal: 18. 3. 2016 13:18
od JirkaVejrazka
Za malo! Rad bych se na to podival hloubeji, ale momentalne to k nicemu nepotrebuju a zase tolik casu nemam :(