ಈ ಲೇಖನವು ಪ್ರಸಿದ್ಧವಾದ OAuth ದೋಷಗಳನ್ನು ಎದುರಿಸುತ್ತದೆ. ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಸುರಕ್ಷಿತ ಮತ್ತು ಸುರಕ್ಷಿತ ದೃಢೀಕರಣವನ್ನು ಹೇಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಓದುಗರು ಕಲಿಯುತ್ತಾರೆ.
Oauth ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ, ಆದರೆ ಅದರ ಭದ್ರತೆಯ ಮಟ್ಟವು ಹೆಚ್ಚಾಗಿ ವೆಬ್ ಡೆವಲಪರ್ಗಳ ಅರಿವು ಪ್ರಮಾಣೀಕರಣವನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವಾಗ ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಇದು ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರಿಗೆ ಈ ವಿಷಯವನ್ನು ಅತ್ಯಂತ ಮುಖ್ಯಗೊಳಿಸುತ್ತದೆ. ಅವರು ತಮ್ಮ ಬಳಕೆದಾರರ ಖಾತೆಗಳ ಉನ್ನತ ಮಟ್ಟದ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸಬೇಕಾಗುತ್ತದೆ. ಬಡ ಮಾರಾಟದ OAuth ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಸಹಾಯ ಮಾಡುವ ಪರಿಣಾಮಕಾರಿ ವೈದ್ಯರು ಪರಿಚಯ ಮಾಡಿಕೊಳ್ಳುವ ಸಮಯ.
ಪರಿಚಯOAuth 2.0 ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಪ್ರಸ್ತುತ ವಿವಿಧ ಅನ್ವಯಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ಇದನ್ನು ಬಳಸುವುದರಿಂದ, ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಪ್ರವೇಶಿಸಲು ಸಾಂಪ್ರದಾಯಿಕ ವಿಧಾನಗಳಿಗೆ ಹೋಲಿಸಿದರೆ ಅನುಕೂಲಕರ ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್ ಲಭ್ಯವಿದೆ, ಸುಲಭ ದೃಢೀಕರಣ ಮತ್ತು ದೃಢೀಕರಣ. ಸರಿಯಾದ ಮತ್ತು ಚಿಂತನಶೀಲ ಅನುಷ್ಠಾನದೊಂದಿಗೆ, OAuth ಪ್ರೋಟೋಕಾಲ್ ಸಾಂಪ್ರದಾಯಿಕ ದೃಢೀಕರಣಕ್ಕಿಂತ ಸುರಕ್ಷಿತವಾಗಿರುತ್ತದೆ, ಏಕೆಂದರೆ ಬಳಕೆದಾರರು ನಿರ್ದಿಷ್ಟ ಸಂಪನ್ಮೂಲವನ್ನು ಪ್ರವೇಶಿಸಲು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅರ್ಜಿಯೊಂದಿಗೆ ತಮ್ಮ ಲೆಕ್ಕಪರಿಶೋಧಕ ಡೇಟಾವನ್ನು ಹಂಚಿಕೊಳ್ಳಬೇಕಾಗಿಲ್ಲ. ಕೆಲವು ವೆಬ್ ಸೈಟ್ನಲ್ಲಿ ನೀವು ನೋಂದಾಯಿಸಬೇಕಾದ ಪ್ರತಿ ಬಾರಿ ಹೊಸ ಖಾತೆಯನ್ನು ರಚಿಸುವ ಬದಲು ಬಳಕೆದಾರರು ತಮ್ಮ Google ಖಾತೆಗಳು, ಫೇಸ್ಬುಕ್ ಅಥವಾ ಲಿಂಕ್ಡ್ಇನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರವೇಶಿಸಲು ಬಯಸುತ್ತಾರೆ. ಹೀಗಾಗಿ, oauth ಪ್ರೋಟೋಕಾಲ್ ನಮ್ಮ ಜೀವನವನ್ನು ಸರಳವಾಗಿ ಸರಳಗೊಳಿಸುತ್ತದೆ.
ಸಾಮಾನ್ಯವಾಗಿ, ಜನಪ್ರಿಯ OAuth ಸೇವಾ ಪೂರೈಕೆದಾರರು ತುಂಬಾ ವಿಶ್ವಾಸಾರ್ಹರಾಗಿದ್ದಾರೆ. ಗೂಗಲ್ ಅಥವಾ ಫೇಸ್ಬುಕ್ ಖಾತೆಯೊಂದಿಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿ ಭದ್ರತೆಯ ನಿರ್ದಿಷ್ಟ ಅರ್ಥದಲ್ಲಿ ಸ್ಫೂರ್ತಿ ನೀಡುತ್ತದೆ, ಮತ್ತು ಅದು ಸರಿಯಾಗಿದೆ. ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ತಜ್ಞರು ಎಚ್ಚರಿಕೆಯಿಂದ ಪರೀಕ್ಷಿಸುತ್ತಾರೆ. ಲಭ್ಯವಿರುವ ಎಲ್ಲಾ ದೋಷಗಳು ಯಾವಾಗಲೂ ಡೆವಲಪರ್ ತಂಡದಿಂದ ತ್ವರಿತವಾಗಿ ಸರಿಪಡಿಸಲ್ಪಡುತ್ತವೆ. ಆದಾಗ್ಯೂ, ಸಂಪೂರ್ಣ ಸುರಕ್ಷತೆಯ ಭಾವನೆಯು ಸುಳ್ಳು ಎಂದು ಗಮನಿಸಬೇಕಾದ ಅಂಶವಾಗಿದೆ.
OAuth ಸೇವಾ ಪೂರೈಕೆದಾರರು ತಮ್ಮ ಕಾರ್ಯಕ್ರಮಗಳ ಸುರಕ್ಷತೆಗೆ ಸ್ಪರ್ಧಿಸಲು ಸಾಕಷ್ಟು ಕಾರಣಗಳು ಅಪ್ಲಿಕೇಶನ್ ಅಭಿವರ್ಧಕರು. ವಾಸ್ತವವಾಗಿ, ಆರಂಭದಲ್ಲಿ ರಕ್ಷಿತ OAuth ಸೇವೆ, ಅದರ ಅನುಸ್ಥಾಪನೆಯ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ತಪ್ಪಾಗಿ ಅಳವಡಿಸಲಾಗಿರುತ್ತದೆ, ಒಳನುಗ್ಗುವವರಿಗೆ ಸುಲಭ ಗುರಿಯಾಗಬಹುದು. ಅಂತಹ ಮುಂದಾಲೋಚನೆಯು ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ.
ಮುಂದೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅನ್ವಯಗಳಲ್ಲಿ ಎದುರಾಗುವ ಅತ್ಯಂತ ಸಾಮಾನ್ಯವಾದ ದೋಷಗಳು ತಮ್ಮ ಬಳಕೆದಾರರನ್ನು ದೃಢೀಕರಿಸಲು OAuth ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತವೆ ಎಂದು ಪರಿಗಣಿಸಬೇಕು. ಪ್ರೋಟೋಕಾಲ್ ಸ್ವತಃ ಸುರಕ್ಷಿತ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹ ಎಂದು ನೆನಪಿನಲ್ಲಿಡಬೇಕು. ತಪ್ಪಾದ ಅನುಷ್ಠಾನದ ನಂತರ ಮಾತ್ರ, ಇದು ಹ್ಯಾಕರ್ ದಾಳಿಗಳಿಗೆ ದುರ್ಬಲವಾಗುತ್ತದೆ.
AAuth Tockey ಕಳ್ಳತನ ಉಲ್ಲೇಖ ಶಿರೋಲೇಖ ಬಳಸಿOAuth ಸರ್ವರ್ನಲ್ಲಿ ಬಳಕೆದಾರರ ಪರವಾಗಿ ಅರ್ಜಿಯು ದೃಢೀಕರಣವನ್ನು ವಿನಂತಿಸಿದಾಗ, ವ್ಯಕ್ತಿಯು ಅದರ ನಂತರದ ಪರಿಚಾರಕಕ್ಕೆ ಪ್ರವೇಶಿಸಲು ಮತ್ತು ಕಳುಹಿಸಲು ಕೋಡ್ ಅನ್ನು ಸ್ವೀಕರಿಸಿ. ಕೆಲಸದ ಸಮಯದಲ್ಲಿ ಬಳಕೆದಾರರು ಮತ್ತೊಂದು ಪುಟಕ್ಕೆ ಮರುನಿರ್ದೇಶಿಸಲಾಗುವುದು ವೇಳೆ, ಈ ಕೋಡ್ ಅನ್ನು "ಉಲ್ಲೇಖಕಾರ" ಹೆಡರ್ನಲ್ಲಿ HTTP ವಿನಂತಿಯಲ್ಲಿ ಕಾಣಬಹುದು. ಹೀಗಾಗಿ, ಕೋಡ್ ಬಾಹ್ಯ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಕುಸಿಯುತ್ತದೆ, ಇದು OAuth ಸರ್ವರ್ನಲ್ಲಿ ನೋಂದಾಯಿಸಲಾದ ಬಳಕೆದಾರ ಡೇಟಾವನ್ನು ಬೆದರಿಕೆ ಮಾಡುತ್ತದೆ.
ಗಮನಿಸಿ: ಉಲ್ಲೇಖಕಾರ ಶಿರೋಲೇಖ HTTP ಪ್ರಶ್ನಾವಳಿ ಶಿರೋಲೇಖ, ಇದು ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿದ URL ಹೋಸ್ಟ್ ಅನ್ನು ಹರಡುತ್ತದೆ.
ಈ ದುರ್ಬಲತೆಯ ಪರಿಣಾಮಗಳನ್ನು ಮೃದುಗೊಳಿಸಲು, ಡೆವಲಪರ್ ಅದರ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಯಾವುದೇ HTML ಚುಚ್ಚುಮದ್ದುಗಳನ್ನು ಹೊಂದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬೇಕು. ಚುಚ್ಚುಮದ್ದನ್ನು ಪತ್ತೆಹಚ್ಚಿದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಅದರ ವೆಬ್ ಸರ್ವರ್ಗೆ ಇಮೇಜ್ ಟ್ಯಾಗ್ ಅನ್ನು ಸುಲಭವಾಗಿ ಹೊಂದಿಸಬಹುದು ಮತ್ತು ಅದರ ಮೇಲೆ ಬಳಕೆದಾರರನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಒಂದು ಮಾರ್ಗವನ್ನು ಕಂಡುಕೊಳ್ಳಬಹುದು. ಹೀಗಾಗಿ, HTTP ವಿನಂತಿಯ "ಉಲ್ಲೇಖಕಾರ" ಶಿರೋಲೇಖದಿಂದ ಕೋಡ್ ಅನ್ನು ಕದಿಯಲು ಅವರು ಅವಕಾಶ ಪಡೆಯುತ್ತಾರೆ.
Redirect_uri ನಿಯತಾಂಕವನ್ನು ಬಳಸಿಕೊಂಡು OAuth Tockey ಕಳ್ಳತನOAuth ಸರ್ವರ್ಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಅಪ್ಲಿಕೇಶನ್ ದೃಢೀಕರಣ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ:
https://www.example.com/signin/authorize onthtorize onthtorize
ಪ್ರಶ್ನೆಯು ಯಾವಾಗಲೂ ತನ್ನ ಒಪ್ಪಿಗೆಯನ್ನು ನೀಡಿದ ನಂತರ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಮತ್ತೆ ಟೋಕನ್ಗಳನ್ನು ಕಳುಹಿಸಲು OAuth ಸರ್ವರ್ ಬಳಸುವ "Redirect_uri" ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ. ಈ ನಿಯತಾಂಕದ ಮೌಲ್ಯವನ್ನು ನಿಯಂತ್ರಿಸದಿದ್ದರೆ ಅಥವಾ ಪರೀಕ್ಷಿಸದಿದ್ದರೆ, ಆಕ್ರಮಣಕಾರರು ಅದನ್ನು ಸುಲಭವಾಗಿ ಬದಲಾಯಿಸಬಹುದು ಮತ್ತು ಅದರ ವೆಬ್ಸೈಟ್ಗೆ ವಿನಂತಿಯನ್ನು ಮರುನಿರ್ದೇಶಿಸಬಹುದು, ಅಲ್ಲಿ ಇದು ಟೋಕನ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಮತ್ತು ಸೀಮಿತ ಸಂಪನ್ಮೂಲಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ವಿಶೇಷ ಕಾರ್ಯಕ್ರಮವನ್ನು ಬಳಸುತ್ತದೆ.
https://www.example.com/signin/signize/Authorize. hightripte_uri=httpps://localhost.evil.com.
ಕೆಲವೊಮ್ಮೆ ಇದೇ ರೀತಿಯ URL ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ. ಆಕ್ರಮಣಕಾರರು ತೆರೆದ URL ನಲ್ಲಿ ಸ್ವೀಕರಿಸಿದ ಡೇಟಾವನ್ನು ಮರುನಿರ್ದೇಶಿಸಬಹುದು, ಈ ರೀತಿ:
https://www.example.com/aouth20_authorize.srf. [ಮೂಲತಃ.
ಅಥವಾ ಈ:
https://www.example.com/aouth2/authorize? [...]% iect_uri = https% 3a% 2f% 2fapps.facebook.com% 2fattacker% 2f.
OAuth ಅನುಷ್ಠಾನಗೊಳಿಸುವಾಗ, ನೀವು ಇಡೀ ಡೊಮೇನ್ಗಳನ್ನು ಬಿಳಿ ಪಟ್ಟಿಯಲ್ಲಿ ಎಂದಿಗೂ ಒಳಗೊಂಡಿರುವುದಿಲ್ಲ. ಮರುನಿರ್ದೇಶನವನ್ನು ತೆರೆಯಲು ವಿನಂತಿಯನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಕೆಲವು URL ಗಳನ್ನು ಮಾತ್ರ ಸೇರಿಸಬೇಕು.
ಕ್ರಾಸ್ ಲೈನ್ ವಿನಂತಿಗಳ ನಕಲಿಆಕ್ರಮಣಕಾರನು ತನ್ನ ಲಿಂಕ್ ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಲು ಬಲಿಪಶುವಾಗಿ ಯಶಸ್ವಿಯಾದಾಗ, ಹೀಗಾಗಿ, ಅವರು ಉತ್ಪಾದಿಸಬಾರದೆಂದು ವಿನಂತಿಯನ್ನು ಸೃಷ್ಟಿಸಲು ದಾಳಿಕೋರರು ಯಶಸ್ವಿಯಾದಾಗ ಸಂಭವಿಸಬಹುದು. ಕ್ರಾಸ್-ಲೈನ್ ವಿನಂತಿಗಳ ನಕಲಿ ಸಾಮಾನ್ಯವಾಗಿ CSRF ಟೋಕನ್ನೊಂದಿಗೆ ಮೃದುಗೊಳಿಸಲ್ಪಡುತ್ತದೆ, ಇದು ಬಳಕೆದಾರ ಅಧಿವೇಶನಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ. ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿದ ವ್ಯಕ್ತಿಯ ವ್ಯಕ್ತಿಯನ್ನು ಪರೀಕ್ಷಿಸಲು ಇದು ಅಪ್ಲಿಕೇಶನ್ಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. OAuth ಪ್ರೋಟೋಕಾಲ್ನಲ್ಲಿನ "ರಾಜ್ಯ" ಪ್ಯಾರಾಮೀಟರ್ CSRF ಟೋಕನ್ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
CSRF ದಾಳಿಯು OAuth ನಲ್ಲಿ ಹೇಗೆ ನಡೆಯುತ್ತದೆ ಮತ್ತು "ರಾಜ್ಯ" ನಿಯತಾಂಕವನ್ನು ದುರ್ಬಲತೆಯ ಪರಿಣಾಮಗಳನ್ನು ತಗ್ಗಿಸಲು ಬಳಸಬಹುದೆಂದು ನೋಡುವ ಮೌಲ್ಯಯುತವಾಗಿದೆ.
ಹ್ಯಾಕರ್ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ತೆರೆಯುತ್ತದೆ ಮತ್ತು OAuth ಅನ್ನು ಬಳಸುವ ಸೇವಾ ಪೂರೈಕೆದಾರರನ್ನು ಪ್ರವೇಶಿಸಲು ಅಧಿಕಾರ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಒದಗಿಸುವ ಸೇವೆ ಒದಗಿಸುವವರಿಗೆ ಅಪ್ಲಿಕೇಶನ್ ವಿನಂತಿಸುತ್ತದೆ. ಹ್ಯಾಕರ್ ಸೇವಾ ಪೂರೈಕೆದಾರ ವೆಬ್ಸೈಟ್ಗೆ ಮರುನಿರ್ದೇಶಿಸಲಾಗುತ್ತದೆ, ಅಲ್ಲಿ ನೀವು ಸಾಮಾನ್ಯವಾಗಿ ಪ್ರವೇಶವನ್ನು ದೃಢೀಕರಿಸಲು ನಿಮ್ಮ ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸಬೇಕಾಗುತ್ತದೆ. ಬದಲಾಗಿ, ಹ್ಯಾಕರ್ ಈ ವಿನಂತಿಯನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತದೆ ಮತ್ತು ಅದರ URL ಅನ್ನು ಉಳಿಸುತ್ತದೆ. ಹ್ಯಾಕರ್ ಹೇಗಾದರೂ ಈ URL ಅನ್ನು ತೆರೆಯಲು ಬಲಿಪಶುಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ. ಬಲಿಪಶು ಸೇವಾ ಪೂರೈಕೆದಾರರ ವ್ಯವಸ್ಥೆಯನ್ನು ಅದರ ಖಾತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರವೇಶಿಸಿದರೆ, ಅದರ ರುಜುವಾತುಗಳನ್ನು ದೃಢೀಕರಣ ಕೋಡ್ ಅನ್ನು ವಿತರಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಅಧಿಕೃತ ಕೋಡ್ ಪ್ರವೇಶ ಟೋಕನ್ಗೆ ಪ್ರವೇಶವನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುತ್ತದೆ. ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಈಗ ಹ್ಯಾಕರ್ ಖಾತೆಯು ಅಧಿಕೃತವಾಗಿದೆ. ಇದು ಬಲಿಯಾದವರ ಖಾತೆಯನ್ನು ಪ್ರವೇಶಿಸಬಹುದು.
ಆದ್ದರಿಂದ, ಈ ಪರಿಸ್ಥಿತಿಯನ್ನು "ರಾಜ್ಯ" ನಿಯತಾಂಕವನ್ನು ಬಳಸುವುದು ಹೇಗೆ?
ಅಪ್ಲಿಕೇಶನ್ ಮೂಲ ಖಾತೆಯ ಆಧಾರದ ಮೇಲೆ ಹೇಗಾದರೂ ಮೌಲ್ಯವನ್ನು ರಚಿಸಬೇಕು (ಉದಾಹರಣೆಗೆ, ಬಳಕೆದಾರ ಅಧಿವೇಶನ ಹ್ಯಾಶ್ ಕೀಲಿಯನ್ನು ಬಳಸಿ). ಅದು ಏನು ಎಂಬುದು ಮುಖ್ಯವಲ್ಲ, ಮುಖ್ಯ ವಿಷಯವೆಂದರೆ ಮೌಲ್ಯವು ಅನನ್ಯವಾಗಿದೆ ಮತ್ತು ಮೂಲ ಬಳಕೆದಾರರ ಬಗ್ಗೆ ಖಾಸಗಿ ಮಾಹಿತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ರಚಿಸಲಾಗಿದೆ. ಇದನ್ನು "ರಾಜ್ಯ" ನಿಯತಾಂಕಕ್ಕೆ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ.
ಮರುನಿರ್ದೇಶಿಸಿದಾಗ ಈ ಮೌಲ್ಯವನ್ನು ಸೇವಾ ಪೂರೈಕೆದಾರರಿಗೆ ಹರಡುತ್ತದೆ. ಈಗ ಹ್ಯಾಕರ್ ಅವರು URL ಅನ್ನು ತೆರೆಯಲು ಬಲಿಪಶು ಆಹ್ವಾನಿಸಿದ್ದಾರೆ, ಅವರು ಉಳಿಸಿಕೊಂಡರು.
ದೃಢೀಕರಣ ಕೋಡ್ ಅನ್ನು ನೀಡಲಾಗುತ್ತದೆ ಮತ್ತು "ರಾಜ್ಯ" ನಿಯತಾಂಕದೊಂದಿಗೆ ಅಧಿವೇಶನದಲ್ಲಿ ಕ್ಲೈಂಟ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ.
ಕ್ಲೈಂಟ್ ಅಧಿವೇಶನ ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ ನಿಯತಾಂಕ ಮೌಲ್ಯವನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ ಮತ್ತು ಅದನ್ನು "ರಾಜ್ಯ" ಮೌಲ್ಯದೊಂದಿಗೆ ಹೋಲಿಸುತ್ತದೆ, ಇದನ್ನು ಸೇವಾ ಪೂರೈಕೆದಾರರಿಗೆ ಅಧಿಕಾರ ವಿನಂತಿಯಿಂದ ಕಳುಹಿಸಲಾಗಿದೆ. ಈ ಮೌಲ್ಯವು ಪ್ರಶ್ನೆಯಲ್ಲಿ "ರಾಜ್ಯ" ನಿಯತಾಂಕಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಪ್ರಸ್ತುತ ಅಧಿವೇಶನದ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ ಮಾತ್ರ ಉತ್ಪತ್ತಿಯಾಗುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ, ಪಡೆದ ಮೌಲ್ಯವನ್ನು ವ್ಯವಸ್ಥೆಯಿಂದ ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ.
Oauth ಅನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವಾಗ ಇತರ ದೋಷಗಳು ಪತ್ತೆಯಾಗಿದ್ದು, xss (ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್) ಅನ್ನು "Redirect_uri" ನಿಯತಾಂಕವನ್ನು ಬಳಸಿಕೊಂಡು, OAuth ಖಾಸಗಿ ಕೀಲಿ ಸೆಟ್ಟಿಂಗ್ (ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಡಿಕಂಪ್ಲಿಂಗ್ ಮಾಡುವಾಗ ಕೀಲಿಯನ್ನು ಕೆಲವೊಮ್ಮೆ ಪಡೆಯಬಹುದು) ಮತ್ತು ದೃಢೀಕರಣ ಕೋಡ್ ನಿಯಮ ಉಲ್ಲಂಘನೆ (ಯಾವಾಗ ಬಹು ಪ್ರವೇಶ ಟೋಕನ್ಗಳನ್ನು ವಿತರಿಸಲು ಅಧಿಕಾರ ಕೋಡ್ ಅನ್ನು ಒಂದಕ್ಕಿಂತ ಹೆಚ್ಚು ಬಾರಿ ಬಳಸಬಹುದಾಗಿದೆ). ಈ ದೋಷಗಳು ಮೇಲೆ ವಿವರಿಸಿದಂತೆ ಕಡಿಮೆ ಸಾಮಾನ್ಯವಾಗಿದೆ, ಆದರೆ ಇದು ಅವರಿಗೆ ಕಡಿಮೆ ಅಪಾಯಕಾರಿ ಮಾಡುವುದಿಲ್ಲ. ಅದರ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನ ವಿಶ್ವಾಸಾರ್ಹ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಡೆವಲಪರ್ ಎಲ್ಲಾ ಅಗತ್ಯ ಅಭ್ಯಾಸಗಳನ್ನು ತಿಳಿದುಕೊಳ್ಳಬೇಕು.
ಭಾಷಾಂತರ ಲೇಖನದ ಲೇಖಕ: ಸೈಮನ್ ಸಲಿಬಾ.
ಪ್ರಮುಖ! ಶೈಕ್ಷಣಿಕ ಉದ್ದೇಶಗಳಿಗಾಗಿ ಮಾತ್ರ ಮಾಹಿತಿ. ದಯವಿಟ್ಟು ಶಾಸನವನ್ನು ಅನುಸರಿಸಿ ಮತ್ತು ಅಕ್ರಮ ಉದ್ದೇಶಗಳಿಗಾಗಿ ಈ ಮಾಹಿತಿಯನ್ನು ಅನ್ವಯಿಸಬೇಡಿ.
CISOCLUB.RU ನಲ್ಲಿ ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕ ವಸ್ತು. ನಮಗೆ ಚಂದಾದಾರರಾಗಿ: ಫೇಸ್ಬುಕ್ | ವಿಕೆ | ಟ್ವಿಟರ್ | Instagram | ಟೆಲಿಗ್ರಾಮ್ | ಝೆನ್ | ಮೆಸೆಂಜರ್ | ICQ ಹೊಸ | ಯೂಟ್ಯೂಬ್ | ಪಲ್ಸ್.