Google та Microsoft анонсували протокол для захисту токенів OAuth Token Binding Protocol (TBP)
Google та Microsoft анонсували протокол для захисту токенів OAuth Token Binding Protocol (TBP)
Інженерна рада Інтернету (Internet Engineering Task Force, IETF) працює над протоколом Token Binding Protocol (TBP), який захистить від повторного відтворення. Зловмисники використовують їх для крадіжки токенів OAuth і подальшого доступу до захищених ресурсів.
Протокол пов'язує cookie-файли HTTPS і токени OAuth з TLS. Для кожного підключення до сервера будуть генеруватися закритий та відкритий ключі. Таке шифрування не дозволить порушнику передати їх на сервер і провести атаку.
Щоб експортувати та відтворити прив'язаний токен безпеки, хакер повинен отримати закритий ключ клієнта. Зробити це важко, якщо ключ спеціально захищений, наприклад, згенерований в апаратному модулі безпеки. Автори розробили протокол, щоб уникнути додавання нових етапів у звичайне рукостискання TLS.
Створенням TBP v.1 займаються Microsoft та Google.
