5.3. Device Trustworthiness (Gerätevertrauenswürdigkeit)

Im Gegensatz zu anderen nativen Anwendungs-OAuth 2.0-Abläufen ist das Gerät, das die Autorisierung anfordert, nicht dasselbe wie das Gerät, von dem aus der Benutzer Zugriff gewährt. Daher sind Signale aus der Sitzung und dem Gerät des genehmigenden Benutzers nicht immer für die Vertrauenswürdigkeit des Client-Geräts relevant.

Beachten Sie, dass wenn ein mit diesem Ablauf verwendeter Autorisierungsserver bösartig ist, er einen Man-in-the-Middle-Angriff auf den Backchannel-Ablauf zu einem anderen Autorisierungsserver durchführen könnte. In diesem Szenario ist der Man-in-the-Middle nicht vollständig verborgen, da der Endbenutzer auf der Autorisierungsseite des falschen Dienstes landen würde, was ihm die Gelegenheit gibt zu bemerken, dass die URL in der Adressleiste des Browsers falsch ist. Damit dies möglich ist, muss der Gerätehersteller entweder der Angreifer sein und ein Gerät versenden, das dazu bestimmt ist, den Man-in-the-Middle-Angriff durchzuführen, oder einen Autorisierungsserver verwenden, der von einem Angreifer kontrolliert wird, möglicherweise weil der Angreifer den vom Gerät verwendeten Autorisierungsserver kompromittiert hat. Teilweise verlässt sich die Person, die das Gerät kauft, darauf, dass der Hersteller und seine Geschäftspartner vertrauenswürdig sind.