+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Google и Microsoft анонсировали протокол для защиты токенов OAuth Token Binding Protocol (TBP)

Google и Microsoft анонсировали протокол для защиты токенов OAuth Token Binding Protocol (TBP)

Инженерный совет Интернета (Internet Engineering Task Force, IETF) работает над протоколом Token Binding Protocol (TBP), который защитит от атак повторного воспроизведения. Злоумышленники используют их для кражи токенов OAuth и последующего доступа к защищенным ресурсам.

Протокол связывает cookie-файлы HTTPS и токены OAuth с TLS. Для каждого подключения к серверу будут генерироваться закрытый и открытый ключи. Такое шифрование не позволит нарушителю передать их на сервер и провести атаку.

Чтобы экспортировать и воспроизвести привязанный токен безопасности, хакер должен получить закрытый ключ клиента. Сделать это трудно, если ключ специально защищен, например, сгенерирован в аппаратном модуле безопасности. Авторы разработали протокол, чтобы избежать добавления новых этапов в обычное рукопожатие TLS.

Созданием TBP v.1 занимаются Microsoft и Google.

 

Другие новости