5. Security Considerations (Sicherheitsüberlegungen)
5. Security Considerations (Sicherheitsüberlegungen)
Wenn der Autorisierungsserver den Widerruf von Zugriffstoken nicht unterstützt, werden Zugriffstoken nicht sofort ungültig, wenn das entsprechende Aktualisierungstoken widerrufen wird. Bereitstellungen müssen dies bei der Durchführung ihrer Sicherheitsrisikoanalyse berücksichtigen.
Das Bereinigen von Token mittels Widerruf trägt zur allgemeinen Sicherheit und zum Datenschutz bei, da es die Wahrscheinlichkeit für den Missbrauch verlassener Token verringert. Diese Spezifikation beabsichtigt im Allgemeinen nicht, Gegenmaßnahmen gegen Token-Diebstahl und -Missbrauch bereitzustellen. Eine Diskussion der entsprechenden Bedrohungen und Gegenmaßnahmen finden Sie in den Sicherheitsüberlegungen in Abschnitt 10 der OAuth-Kernspezifikation [RFC6749] und im OAuth-Bedrohungsmodelldokument [RFC6819].
Böswillige Clients könnten versuchen, den neuen Endpunkt zu verwenden, um denial-of-service (Denial-of-Service)-Angriffe auf den Autorisierungsserver zu starten. Geeignete Gegenmaßnahmen, die auch für den Token-Endpunkt vorhanden sein sollten, MÜSSEN (MUST) auf den Widerrufsendpunkt angewendet werden (siehe [RFC6819], Abschnitt 4.4.1.11). Insbesondere können ungültige Token-Typhinweise den Autorisierungsserver fehlleiten und zusätzliche Datenbankabfragen verursachen. Es MUSS (MUST) darauf geachtet werden, dass böswillige Clients diese Funktion nicht ausnutzen, um Denial-of-Service-Angriffe zu starten.
Ein böswilliger Client kann versuchen, gültige Token an diesem Endpunkt zu erraten, indem er Widerrufsanforderungen gegen potenzielle Token-Zeichenfolgen stellt. Gemäß dieser Spezifikation muss die Anforderung eines Clients im Falle eines öffentlichen Clients eine gültige client_id oder im Falle eines vertraulichen Clients gültige Client-Anmeldeinformationen enthalten. Das zu widerrufende Token muss ebenfalls dem anfragenden Client gehören. Wenn es einem Angreifer gelingt, die client_id eines öffentlichen Clients und eines seiner Token oder die Anmeldeinformationen eines privaten Clients und eines seiner Token erfolgreich zu erraten, könnte er durch die Verwendung des Tokens an anderer Stelle weitaus schlimmeren Schaden anrichten, als durch das Widerrufen. Wenn er sich entscheidet, das Token zu widerrufen, verliert der legitime Client seine Autorisierungszuteilung und muss den Benutzer erneut auffordern. Es entsteht kein weiterer Schaden und das erratene Token ist jetzt wertlos.
Da der Widerrufsendpunkt Sicherheitsanmeldeinformationen verarbeitet, müssen Clients seinen Standort nur aus einer vertrauenswürdigen Quelle beziehen. Andernfalls könnte ein Angreifer gültige Sicherheitstoken erfassen, indem er einen gefälschten Widerrufsendpunkt verwendet. Darüber hinaus MÜSSEN (MUST) Clients den Widerrufsendpunkt authentifizieren (Zertifikatsvalidierung usw.), um gefälschte Widerrufsendpunkte zu erkennen.