Zum Hauptinhalt springen

10.5. Downgrade Attack (Downgrade-Angriff)

10.5. Downgrade Attack (Downgrade-Angriff)

Sofern das zwischen Client und Server genutzte Protokoll nicht fest auf OAuth JWT-Secured Authorization Request (JAR) festgelegt ist, kann ein Angreifer RFC-6749-Anfragen nutzen, um den Schutz dieses Dokuments zu umgehen.

Zur Abwehr definiert dieses Dokument neue Client- und Server-Metadatenwerte, beide namens require_signed_request_object, mit booleschen Werten.

Ist der Wert in den Client-Metadaten true, MUSS der Server Autorisierungsanfragen dieses Clients ablehnen, die diesem Dokument nicht entsprechen. Er MUSS die Anfrage auch ablehnen, wenn das Request Object einen alg-Wert none nutzt, während dieser Server-Metadatenwert true ist. Wird er weggelassen, ist der Standardwert false.

Ist der Wert in den Server-Metadaten true, MUSS der Server Autorisierungsanfragen jedes Clients ablehnen, die diesem Dokument nicht entsprechen. Er MUSS die Anfrage auch ablehnen, wenn das Request Object alg none verwendet. Wird er weggelassen, ist der Standardwert false.

Selbst wenn require_signed_request_object nicht gesetzt ist, DARF der Client signierte Request Objects verwenden, sofern Client und Server gemeinsam unterstützte Signaturalgorithmen haben. Die Nutzung von Signaturalgorithmus-Metadaten ist in Abschnitt 4 beschrieben.

Letztes Update am