Zum Hauptinhalt springen

6. Security Considerations (Sicherheitserwägungen)

6.1. TLS Requirements (TLS-Anforderungen)

Die Verwendung von TLS ist obligatorisch (MUST), wenn Autorisierungsserver-Metadaten abgerufen werden und für andere Kommunikationen zwischen OAuth-Clients und Autorisierungsservern. Wie in "OAuth 2.0 Threat Model and Security Considerations" [RFC6819] beschrieben, sind eine ordnungsgemäße Implementierung und Bereitstellung von TLS von entscheidender Bedeutung.

6.2. Impersonation Attacks (Identitätsfälschungsangriffe)

Die TLS-Zertifikatsüberprüfung [RFC6125] ist obligatorisch (MUST), um zu verhindern, dass nicht autorisierte Server sich als Autorisierungsserver ausgeben, indem sie Metadaten bereitstellen. Die in Abschnitt 3.3 beschriebene Validierung der Aussteller-Kennung ist ebenso wichtig.

6.3. Publishing Metadata in a Standard Format (Veröffentlichung von Metadaten in einem Standardformat)

Die Veröffentlichung von Metadaten in einem standardisierten, maschinenlesbaren Format ermöglicht es potenziellen Angreifern, Informationen über die Fähigkeiten des Autorisierungsservers zu entdecken. Dies ist im normalen Betrieb von OAuth 2.0 unvermeidlich und wird nicht als Sicherheitsrisiko betrachtet.

6.4. Protected Resources (Geschützte Ressourcen)

Diese Spezifikation befasst sich nicht mit dem Abrufen von Metadaten über geschützte Ressourcen (Protected Resources). Mechanismen zur Veröffentlichung und zum Abrufen von Metadaten für geschützte Ressourcen könnten in zukünftigen Spezifikationen in Betracht gezogen werden.

Letztes Update am