5.6. Non-Confidential Clients (非机密客户端)
🇬🇧 English
Device clients are generally incapable of maintaining the confidentiality of their credentials, as users in possession of the device can reverse-engineer it and extract the credentials. Therefore, unless additional measures are taken, they should be treated as public clients (as defined by Section 2.1 of [RFC6749]), which are susceptible to impersonation. The security considerations of Section 5.3.1 of [RFC6819] and Sections 8.5 and 8.6 of [RFC8252] apply to such clients.
The user may also be able to obtain the "device_code" and/or other OAuth bearer tokens issued to their client, which would allow them to use their own authorization grant directly by impersonating the client. Given that the user in possession of the client credentials can already impersonate the client and create a new authorization grant (with a new "device_code"), this doesn't represent a separate impersonation vector.
🇨🇳 中文
设备客户端通常无法维护其凭据的机密性,因为拥有设备的用户可以对其进行逆向工程并提取凭据。因此,除非采取额外措施,否则应将它们视为公共客户端(如 [RFC6749] 第 2.1 节所定义),这些客户端易受冒充攻击。[RFC6819] 第 5.3.1 节和 [RFC8252] 第 8.5 节和第 8.6 节的安全考量适用于此类客户端。
用户还可以获取颁发给其客户端的"device_code"和/或其他 OAuth 承载令牌,这将允许他们通过冒充客户端直接使用自己的授权许可。鉴于拥有客户端凭据的用户已经可以冒充客户端并创建新的授权许可(使用新的"device_code"),这不代表单独的冒充向量。
🇯🇵 日本語
デバイスクライアントは一般的に、その資格情報の機密性を維持することができません。デバイスを所有するユーザーは、それをリバースエンジニアリングして資格情報を抽出できるためです。したがって、追加の措置が講じられない限り、それらは公開クライアント([RFC6749] のセクション 2.1 で定義)として扱われるべきであり、これらはなりすましに対して脆弱です。[RFC6819] のセクション 5.3.1 および [RFC8252] のセクション 8.5 および 8.6 のセキュリティ上の考慮事項がこのようなクライアントに適用されます。
ユーザーは、クライアントに発行された "device_code" および/または他の OAuth ベアラートークンを取得することもでき、これによりクライアントになりすますことで自分の認可グラントを直接使用できるようになります。クライアント資格情報を所有するユーザーが既にクライアントになりすまして新しい認可グラント(新しい "device_code" を使用)を作成できることを考えると、これは別のなりすましベクトルを表すものではありません。
🇫🇷 Français
Les clients d'appareils sont généralement incapables de maintenir la confidentialité de leurs informations d'identification, car les utilisateurs en possession de l'appareil peuvent le rétro-concevoir et extraire les informations d'identification. Par conséquent, à moins que des mesures supplémentaires ne soient prises, ils doivent être traités comme des clients publics (tels que définis par la Section 2.1 de [RFC6749]), qui sont susceptibles d'usurpation d'identité. Les considérations de sécurité de la Section 5.3.1 de [RFC6819] et des Sections 8.5 et 8.6 de [RFC8252] s'appliquent à ces clients.
L'utilisateur peut également être en mesure d'obtenir le "device_code" et/ou d'autres jetons bearer OAuth émis à leur client, ce qui leur permettrait d'utiliser directement leur propre autorisation en usurpant l'identité du client. Étant donné que l'utilisateur en possession des informations d'identification du client peut déjà usurper l'identité du client et créer une nouvelle autorisation (avec un nouveau "device_code"), cela ne représente pas un vecteur d'usurpation d'identité séparé.
🇩🇪 Deutsch
Geräteclients sind im Allgemeinen nicht in der Lage, die Vertraulichkeit ihrer Anmeldeinformationen aufrechtzuerhalten, da Benutzer, die das Gerät besitzen, es rückentwickeln und die Anmeldeinformationen extrahieren können. Daher sollten sie, sofern keine zusätzlichen Maßnahmen ergriffen werden, als öffentliche Clients behandelt werden (wie in Abschnitt 2.1 von [RFC6749] definiert), die anfällig für Identitätsmissbrauch sind. Die Sicherheitsüberlegungen von Abschnitt 5.3.1 von [RFC6819] und den Abschnitten 8.5 und 8.6 von [RFC8252] gelten für solche Clients.
Der Benutzer kann möglicherweise auch den "device_code" und/oder andere OAuth-Bearertoken erhalten, die an seinen Client ausgestellt wurden, was es ihm ermöglichen würde, seine eigene Autorisierungsgenehmigung direkt durch Identitätsmissbrauch des Clients zu verwenden. Angesichts der Tatsache, dass der Benutzer, der im Besitz der Client-Anmeldeinformationen ist, bereits den Client imitieren und eine neue Autorisierungsgenehmigung erstellen kann (mit einem neuen "device_code"), stellt dies keinen separaten Identitätsmissbrauchsvektor dar.
🇮🇹 Italiano
I client dei dispositivi sono generalmente incapaci di mantenere la riservatezza delle loro credenziali, poiché gli utenti in possesso del dispositivo possono effettuare reverse engineering e estrarre le credenziali. Pertanto, a meno che non vengano adottate misure aggiuntive, dovrebbero essere trattati come client pubblici (come definito dalla Sezione 2.1 di [RFC6749]), che sono suscettibili di impersonificazione. Le considerazioni sulla sicurezza della Sezione 5.3.1 di [RFC6819] e delle Sezioni 8.5 e 8.6 di [RFC8252] si applicano a tali client.
L'utente può anche essere in grado di ottenere il "device_code" e/o altri token bearer OAuth emessi al proprio client, il che consentirebbe loro di utilizzare direttamente la propria concessione di autorizzazione impersonando il client. Dato che l'utente in possesso delle credenziali del client può già impersonare il client e creare una nuova concessione di autorizzazione (con un nuovo "device_code"), questo non rappresenta un vettore di impersonificazione separato.