javascriptのfacebookユーザーアクセストークンを公開する際のセキュリティ上のリスクは何ですか？

Question

私のアプリケーションに、あるfacebookユーザーへのアクセストークンがあるとします。 JSコードのこのアクセストークンを私のサイトを訪れる他のユーザーに公開するとセキュリティ上の危険はありますか？もしそうなら、彼らはそれで何をすることができますか？

Answer 1

Facebookのアクセストークンは、トークンへのアクセス権を持っている人には、特定のユーザーに同じ権利をあなたのアプリをしていいます。したがって、あなたのアプリがアクションA、B、Cを実行する権利を取得してその旨のトークンが発行された場合、そのトークンを取得できる他のアプリケーションは、そのトークンが期限切れになるまで）。

はい、リスクがあります。あなたは、あなたのアプリと同じようにFacebookのユーザーと同じ権限を持つべきではないものにアクセスすることからトークンを保護する必要があります。

Answer 2

あなたは

1. Confused deputyの危険性がある - あなたのコードは、故意または悪意がある、まだ多くのコードに代わって作用することにより、これらの権限を乱用可能性のあるコードに権限を付与されます。 code injection（XSS）を経由して
2. 盗難 - 資格情報は、XSSの脆弱性を利用して、あなたのページに挿入されたコードによって盗まれ、その後、おそらく犯人としてあなたを起訴ログを生成し、ユーザーに代わって行動するために使用することができます。
3. 盗聴を経由して盗難 - ブラウザとサーバ間の接続を介して行くの非HTTPSコンテンツがある場合、そのパケットを読み取る能力を持つ盗聴者が認証情報を盗むことができます。
4. マルウェアによる盗難 - ユーザーのコンピュータでマルウェアが実行されている場合、それらのクレデンシャルをブラウザに送信すると、そのマルウェアに暴露されます。マルウェアはおそらく、ブラウザプロセスが所有するメモリを読み取るか、ブラウザによって書き込まれたファイルをキャッシュする必要があります。

Answer 3

このアクセストークンは、誰でもアクセストークンに許可されている操作を行う場所であればどこでも使用できます。どちらが強力なのでしょうか？

だから、JavaScriptでaccess_tokenはを暴露することは、本当にに依存するから、と送信されているトークンアクセスネットワークのどのタイプ上で実行されるjavascriptいます。

物事がhttpsを超えている場合はJavaScriptが実行されているデバイスは、（画面ロックと言う個人的な携帯電話のブラウザ）そうでない場合は安全であるならば、あなたは何も心配はないはずです。

デバイスは、詐欺師は、ブラウザ上の履歴ファイルスルースヌープされた後ならば、でも誰もが同じユーザーアカウントを使用して、HTTPS、と、一般的に共有インターネットターミナルを言うと、そのアクセストークンを引き出している場合。悪い悪い悪い。

HTTPを介して通信を行う場合は、それは見るために全世界に広く開いたのです。悪い悪い悪い。

あなたは私たちの環境が何であるかについて、この情報のいずれかを与えられていないので、だから、それは非常に漠然とした質問です。だから私の最終的なラインはあまりあいまいではないでしょう。 しないでください！ FacebookのJavascript SDKがあなたのためにaccess_tokenを処理するようにします。

Answer 4

、開示セキュリティトークンは、私はルート権限を取得Android携帯電話上で動作するソフトウェア「FaceNiff」を覚えている

をハック を得ることのあなたのユーザーが脆弱になる可能性が、それは、Facebookや他のウェブサイトのセキュリティトークンを傍受し、することができますそのWIFIに接続しているユーザーのアカウントでログインしてください。

他のAndroidソフトウェアにセキュリティ上の欠陥があったため、ハッカーはGmailのカレンダーセキュリティトークンを盗聴し、完全なアクセス権を得ることができます。

この記事を読んでhttp://www.techlicious.com/blog/android-security-flaw-could-expose-you-to-data-theft/