クロムエクステンションを作成しています。認証のためにOAuth2クライアントサイドフローを使用する予定です。 GoogleとFacebookの両方の仕様に従って、クライアント側のフローを使用すると、redirect_uriのハッシュ部分の一部としてアクセストークンが取得されます。今私の質問はこれです - >不正な拡張機能がそのアクセストークンを他のマシンの別の拡張機能に転送し、そのアクセストークンを使用してユーザーの詳細を取得するとどうなりますか?私はWeb開発とOuathで非常に初心者です。誰かがこの疑いを明確にすることができれば分かります。クライアントサイドでセキュリティホールが発生する可能性があります。GoogleとFacebook用のOAuth2フロー
2
A
答えて
1
FacebookのOAuth2実装では、SSL(https)を使用する必要があります。これは、明示的にブラウザ自体の外に(または悪いプラグインを使用して)明示的に指定しない限り、
ここで、このトピックに大きな柱があります:http://www.sociallipstick.com/?p=239
2
Chrome拡張機能はサンドボックス化されており、拡張機能に保存されたデータには別の拡張機能からアクセスできません。
1
はい、Chromeの拡張機能は、ユーザーがそれらをインストールし、それを行うために、彼らに権限を付与することを選択した場合など、あなたのパスワード、OAuthのトークンを、盗聴する能力を持っています。インストールする拡張機能には注意が必要です。
関連する問題
- 1. PHPログインスクリプト - セッションエラーが発生する可能性があります
- 2. スタティックファイルとテンプレートでDjangoバグが発生する可能性があります
- 3. リモートブラウザとの通信でエラーが発生した可能性があります。
- 4. rand.Readerを読むとエラーが発生する可能性がありますか?
- 5. C#メソッドとプロパティ:例外が発生する可能性があります
- 6. magssoサイトでCSSの問題が発生する可能性があります
- 7. Android:アクセシビリティサービスのgetRootInActiveWindowでANRが発生する可能性がありますか?
- 8. UITableViewでUIViewControllerのメモリリークが発生する可能性があります
- 9. PHPでセキュリティ上の問題が発生する可能性があります
- 10. OpenCV2.4でビデオキャプチャフレームのバグが発生する可能性があります
- 11. 構造体のNSDateでメモリリークが発生する可能性があります。
- 12. ZxingのSystem.Drawing.Bitmapでメモリリークが発生する可能性があります。
- 13. 再生中にSSHエラーが発生する可能性があります。
- 14. py.test assertが発生する可能性があり、発生した場合は__
- 15. コロンで構文エラーが発生する可能性があります。
- 16. ローカルホストでSSHエラーが発生する可能性があります
- 17. std :: accumulateでオーバーフローが発生する可能性があります
- 18. いつでもエラーが発生する可能性があります
- 19. Javascript Ajaxでデッドロックが発生する可能性がありますか?
- 20. OSXエルキャピタンでメモリリークバグが発生する可能性があります
- 21. FindAsyncエクステンションでmongodbデッドロックが発生する可能性があります
- 22. fdopen()でメモリリークが発生する可能性がありますか?
- 23. ホストは文字列でエラーが発生する可能性があります
- 24. プレーンなJSPサイトでメモリリークが発生する可能性があります
- 25. spring-data-mongodbでメモリリークが発生する可能性があります
- 26. voidメソッドでスタックオーバーフローエラーが発生する可能性がありますか?
- 27. PHPスクリプトでメモリリークが発生する可能性があります
- 28. ProductionでActionCableを使用すると、パフォーマンスの問題が発生する可能性がありますか?
- 29. ルーピングタスクの実行中にタスクエラーが発生する可能性があります。
- 30. 警告@classのエラーが発生する可能性があります。
エクステンションがデータを別のサービスに渡す場合(ユーザーに知らなくても)、エクステンションは悪いものです。エクステンションが**ユーザーデータを知らずに** **そのエクステンションを共有している場合、エクステンションは悪いものです。明確にするには:**悪ではない** – Lix
@Lix申し訳ありませんが、私はあなたが私の質問を誤解したと思います。私は私の質問を更新しました。私は、アクセストークンにのみ依存するので、これはoauthクライアントサイドフローのセキュリティバグではありません。ランダムな拡張機能は、アクセストークンを他のマシンに転送することができます。そのようなことが起こるかどうかは疑問だっただけで、それを実装する意思は一切ありませんでした。 –
これで少しクリアされます。私は彼らがどのように構造化され、どのように彼らがお互いに通信することができるかについての知識がないので、私は拡張の性質の100%ではありません。問題の拡張機能に、いくつかのアクションを実行するバックエンドサーバーがある場合、その拡張機能は機密データを所持している必要はないかもしれません。 – Lix