내 사이트의 페이스 북 로그인을 고려 중입니다. 페이스 북 기반 인증을 기반으로 사용자는 사이트에 로그인됩니다. 페이스 북의 로그인 상태와 관계없이 사이트에서 로그 아웃 할 때까지 계속 사용합니다. 대부분의 다른 사이트와 마찬가지입니다.Facebook의 클라이언트 측 인증은 충분히 안전합니까?
FB의 클라이언트 측 로그인 방법을 살펴보면 fbsr_ {app_id} 쿠키에서받은 signed_request 데이터를 기반으로합니다. 그리고 FB 요청은 인증 요청의 유효성을 확인하기 위해 10 분 이내에 유효한 short-lived access_token을 교환해야합니다. (이 10 분은 FB가 보안 허점을 최소화하는 최선의 방법 인 것 같습니다.)
그러나이 10 분 내에 누군가 다른 사람이 쿠키를 복사 할 수 있으며 많은 어려움없이 성공적으로 로그인하려고 시도 할 수 있습니다. 희생자. 이것은 나에게 문제가되는 다음과 같은 질문을하고 싶습니다 :
오전 내가 FB의 클라이언트 측 인증의 보안 측면에 대한 여기서 뭔가 누락하거나 사실이 약점이있다?
틈새를 막기 위해 구현할 때 할 수있는 일이 있습니까? 아니면 FB의 서버 측 인증으로 이동합니까?
당신이 HTTPS를 사용한다고 가정 할 때, 보안 구멍이 악용되기가 매우 어렵다는 것이 좋습니다. 공격자는 본질적으로 사용자의 컴퓨터에 앉아 있어야합니다. 그러나 사용자가 로그 아웃하지 않으면 "공격자"가 항상이를 수행 할 수 있습니다. 아니면 당신이 착취 당할 수있는 다른 방법이 있습니까? – Madbreaks
OAUTH 2.0 로그인 워크 플로를보고 있습니까? – Madbreaks
@Madbreaks 예, oauth2. 그리고 현재 HTTPS를 사용하지 않습니다. 피해자의 컴퓨터에 있어야 할 필요는 없습니다. 작업장에서는 항상 쿠키를 관리 할 수 있습니다. 10 분 및 몇 가지 편리한 도구가 좋은 시간입니다. (글쎄, 난 여기에 보안과 편집증이 아니지만, 이해하려고 하고이 인증을위한 더 나은 옵션을 선택). – Ethan