Рейтинг:2

Почему OAuth 1.0a требует случайных одноразовых номеров и насколько они должны быть случайными?

флаг cn

Каковы требования к одноразовому номеру? <- Обычно требуется только, чтобы одноразовый номер был уникальным, однако в некоторых случаях предъявляются более жесткие требования (такие как случайность и непредсказуемость).

В спецификации OAuth 1.0a указано, что:

Одноразовый номер — это случайная строка, уникально сгенерированная клиентом, чтобы разрешить сервер, чтобы убедиться, что запрос никогда не был сделан раньше и помогает предотвратить повторные атаки, когда запросы выполняются через незащищенный канал. Значение nonce ДОЛЖНО быть уникальным для всех запросов с та же метка времени, учетные данные клиента и комбинации токенов.

Почему OAuth 1.0a требует случайности?

Также меня удивляет, что в спецификации написано:случайный' без явного требования криптографически безопасной случайности. Какая может быть польза от случайного, но не криптографически безопасного случайного одноразового номера? Полагаю, я должен понимать, что здесь подразумевается требование криптографически защищенной случайности?

Maarten Bodewes avatar
флаг in
OAuth в основном определяет структуру того, как могут быть установлены токены аутентификации. Он вообще не углубляется в безопасность. Платформа аутентификации безопасна, но только в том случае, если она правильно настроена. Для OAuth 2 есть отдельный RFC с требованиями безопасности, который очень нужен. Как ни странно, OAuth 1 устанавливает требования к используемым секретам. Незащищенные случайные ГСЧ могут быть не заполнены должным образом (что может быть не такой уж большой проблемой, если ГСЧ всегда запускается со свежей отметкой времени), и они быстрые, но я бы использовал большой одноразовый номер из хорошо засеянного CSPRNG. тем не мение.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.