Почему OAuth 1.0a требует случайных одноразовых номеров и насколько они должны быть случайными?

gaazkam

10.05.2023, 11:20

Каковы требования к одноразовому номеру? <- Обычно требуется только, чтобы одноразовый номер был уникальным, однако в некоторых случаях предъявляются более жесткие требования (такие как случайность и непредсказуемость).

В спецификации OAuth 1.0a указано, что:

Одноразовый номер — это случайная строка, уникально сгенерированная клиентом, чтобы разрешить сервер, чтобы убедиться, что запрос никогда не был сделан раньше и помогает предотвратить повторные атаки, когда запросы выполняются через незащищенный канал. Значение nonce ДОЛЖНО быть уникальным для всех запросов с та же метка времени, учетные данные клиента и комбинации токенов.

Почему OAuth 1.0a требует случайности?

Также меня удивляет, что в спецификации написано:случайный' без явного требования криптографически безопасной случайности. Какая может быть польза от случайного, но не криптографически безопасного случайного одноразового номера? Полагаю, я должен понимать, что здесь подразумевается требование криптографически защищенной случайности?

0 + 0

одноразовый номер

Maarten Bodewes

10.05.2023, 16:45

OAuth в основном определяет структуру того, как могут быть установлены токены аутентификации. Он вообще не углубляется в безопасность. Платформа аутентификации безопасна, но только в том случае, если она правильно настроена. Для OAuth 2 есть отдельный RFC с требованиями безопасности, который очень нужен. Как ни странно, OAuth 1 устанавливает требования к используемым секретам. Незащищенные случайные ГСЧ могут быть не заполнены должным образом (что может быть не такой уж большой проблемой, если ГСЧ всегда запускается со свежей отметкой времени), и они быстрые, но я бы использовал большой одноразовый номер из хорошо засеянного CSPRNG. тем не мение.

Ответить

Admin

Этот вопрос на других языках:

EN: Why does OAuth 1.0a require random nonces and how random should they be?

TH: เหตุใด OAuth 1.0a จึงต้องการ nonce แบบสุ่ม และควรสุ่มอย่างไร

RO: De ce OAuth 1.0a necesită non-uri aleatorii și cât de aleatorii ar trebui să fie?

RU: Почему OAuth 1.0a требует случайных одноразовых номеров и насколько они должны быть случайными?

VI: Tại sao OAuth 1.0a yêu cầu các nonce ngẫu nhiên và chúng nên ngẫu nhiên như thế nào?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.