මෙම ලිපිය සුප්රසිද්ධ ඕවත් අවදානම් සමඟ කටයුතු කරනු ඇත. වෙබ් අයදුම්පතේ ආරක්ෂිත හා ආරක්ෂිත අවසරය ක්රියාත්මක කරන්නේ කෙසේද යන්න පා readers කයින් ඉගෙන ගනු ඇත.
Oauth යනු විශ්වාසදායක ප්රොටොකෝලයකි, නමුත් එහි උපාධිය බොහෝ දුරට අවසරය ක්රියාත්මක කිරීමේදී වෙබ් සංවර්ධකයින් පිළිබඳ දැනුවත්භාවය මත රඳා පවතී. තොරතුරු ආරක්ෂණ වෘත්තිකයන් සඳහා මෙය මෙම මාතෘකාව අතිශයින්ම වැදගත් කරයි. ඔවුන්ගේ පරිශීලකයින්ගේ ගිණුම් ඉහළ මට්ටමක ආරක්ෂාවක් සැපයිය යුතුය. OAuth SheaTh හි දුප්පතුන්ගේ අන්තරාය අඩු කිරීමට උපකාරී වන the ලදායී වෘත්තිකයන් සමඟ දැන හඳුනා ගැනීමට කාලයයි.
හැදින්වීමOauth 2.0 ප්රොටෝකෝලය දැනට විවිධ යෙදුම්වල බහුලව භාවිතා වේ. එය භාවිතා කරමින්, පරිශීලක නාමය සහ මුරපදය ඇතුළත් කිරීම සඳහා සාම්ප්රදායික ක්රම සමඟ සසඳන විට පහසු පරිශීලක අතුරුමුහුණතක් ලබා ගත හැකිය. නිසි හා කල්පනාකාරී ක්රියාවට නැංවීම, සාම්ප්රදායික බලය පැවරීමකට වඩා, ඕවාත් ප්රොටෝකෝලය සාම්ප්රදායික බලය පැවරීමට වඩා ආරක්ෂිත වනු ඇත, මන්ද පරිශීලකයින්ට නිශ්චිත සම්පතක් වෙත ප්රවේශ වීම සඳහා තෙවන පාර්ශවීය යෙදුමකින් ඔවුන්ගේ ගිණුම්කරණ දත්ත තෙවන පාර්ශවීය යෙදුමකින් බෙදා ගැනීමට අවශ්ය නොවන බැවිනි. සමහර වෙබ් අඩවියක ලියාපදිංචි වීමට අවශ්ය සෑම අවස්ථාවකම නව ගිණුමක් නිර්මාණය කිරීම වෙනුවට ඔවුන්ගේ ගූගල් ගිණුම්, ෆේස්බුක් හෝ ලින්කිනින් භාවිතා කිරීමට පරිශීලකයින් බොහෝ විට කැමති වේ. මේ අනුව, ඕවාත් ප්රොටෝකෝලීය අපගේ ජීවිත විශාල වශයෙන් සරල කරයි.
පොදුවේ ගත් කල, ජනප්රිය ඕවාත් සේවා සපයන්නන් ඉතා විශ්වාසදායකය. ගූගල් හෝ ෆේස්බුක් ගිණුම සමඟ ලොග් වන්න නිශ්චිත ආරක්ෂණ හැඟීමක් ඇති කරන අතර එය නිවැරදි ය. ප්රොටෝකෝලය විශේෂ .යන් විසින් පරෙස්සමින් පරීක්ෂා කරනු ලැබේ. පවතින සියලුම අවදානම් සෑම විටම සංවර්ධකයා විසින් ඉක්මනින් නිවැරදි කරනු ලැබේ. කෙසේ වෙතත්, සම්පූර්ණ ආරක්ෂාව පිළිබඳ හැඟීම අසත්ය විය හැකි බව සඳහන් කිරීම වටී.
Alouth සේවා සපයන්නන් වාමාධාර සංවර්ධකයින්ගේ සියලුම වැඩසටහන් වල ආරක්ෂාව තරවටු කිරීමට හේතු රාශියක් ඇත. ඇත්ත වශයෙන්ම, එහි ස්ථාපනයේ දී වැරදි ලෙස ක්රියාත්මක වන මුලින් ආරක්ෂා වූ ආරක්ෂිත ක්ෂේම භූමිය, අනවසරයෙන් ඇතුළුවන්නන්ට පහසු ඉලක්කයක් විය හැකිය. එවැනි පූර්ව පික්කා රෝගී පරිශීලකයින්ගේ පුද්ගලික දත්ත සොරකම් කිරීමට හේතු වේ.
ඊළඟට, ඔවුන්ගේ පරිශීලකයින්ට බලය පැවරීම සඳහා ඕවාත් ප්රොටෝකෝලය ක්රියාත්මක කරන තෙවන පාර්ශවීය යෙදුම්වල ඇති වඩාත් පොදු අවදානම් සහිත බව ඊළඟට ඔබ සලකා බැලිය යුතුය. ප්රොටෝකෝලය විසින්ම ආරක්ෂිත හා විශ්වාසදායක බව මතක තබා ගත යුතුය. වැරදි ක්රියාත්මක කිරීමෙන් පසුව පමණක්, එය හැකර් ප්රහාරවලට ගොදුරු වේ.
රෙසර් ශීර්ෂය භාවිතා කරමින් ඕමුත් ටෝකේ සොරකමඅයදුම් සේවාදායකයේ පරිශීලකයා වෙනුවෙන් අයදුම්පත ඉල්ලා සිටින විට, පුද්ගලයෙකුට එම කේතය ලබා ගැනීමට සහ එහි පසු චෙක්පත සඳහා සේවාදායකයට ඇතුළු වීමට කේතය ලැබේ. වැඩ අතරතුර පරිශීලකයා වෙනත් පිටුවකට හරවා යැවීමේ නම්, කේතය "තිරිසන්" හිම HTTP ඉල්ලීමේ ශීර්ෂයේ දක්නට ලැබේ. මේ අනුව, කේතය බාහිර වෙබ් අඩවියේ වැටෙනු ඇති අතර එමඟින් OAUTUS සේවාදායකයේ පරිශීලක දත්ත ලියාපදිංචි කර ඇති බවට තර්ජනය වේ.
සටහන: විනිසුරු ශීර්ෂය HTTP විමසුම් ශීර්ෂයක් වන අතර, එය ඉල්ලීම යවන URL ධාරකය සම්ප්රේෂණය කරයි.
මෙම අවදානමේ ප්රතිවිපාක මෘදු කිරීම සඳහා, සංවර්ධකයා එහි වෙබ් යෙදුමේ කිසිදු HTML එන්නත් අඩංගු නොවන බවට සහතික විය යුතුය. එන්නත් අනාවරණය වූයේ නම්, ප්රහාරකයාට පහසුවෙන් රූප ටැගය එහි වෙබ් සේවාදායකයට පහසුවෙන් සකසා පරිශීලකයා නැවත හරවා යැවීමට ක්රමයක් සොයා ගත හැකිය. මේ අනුව, HTTP ඉල්ලීමේ "රෙසීර්" ශීර්ෂයෙන් කේතය සොරකම් කිරීමට ඔහුට අවස්ථාව ලැබෙනු ඇත.
Redirect_rui පරාමිතිය භාවිතා කරමින්OAuth සේවාදායකයට ඉල්ලීමක් යැවීමෙන් යෙදුම බලය පැවරීමේ ක්රියාවලිය ආරම්භ කරයි:
https://www.example.com/siginin/authozeze? Wordirect_uri=httppps://demo.example.com/olexpcess.
විමසුමට සෑම විටම "යළි-යොමුවීම_රි" පරාමිතිය අඩංගු වන්නේ පරිශීලකයා ඔහුගේ කැමැත්ත දුන් පසු ටෝකන නැවත අයදුම්පතට යැවීම සඳහා ටෝකන නැවත අයදුම්පතට යැවීම සඳහා ය. මෙම පරාමිතියේ වටිනාකම පාලනය කර නොගන්නේ නම් හෝ පරීක්ෂා නොකෙරේ නම්, ප්රහාරකයාට පහසුවෙන් එය පහසුවෙන් වෙනස් කර එහි වෙබ් අඩවියට පහසුවෙන් එය ප්රතිනිර්මාණය කළ හැකි අතර එය ටෝකනය සැකසීම සහ සීමිත සම්පතකට ප්රවේශය ලබා ගත හැකිය.
https://www.example.com/signin/authoreze'..1.1riberct_uri=httppps: tollaalhost.evil.com.: bolahost.evil.com.
සමහර විට සමාන URL අවහිර කර ඇත. ප්රහාරකයාට මේ ආකාරයට විවෘත URL එකේ ලැබුණු දත්ත හරවා යැවිය හැකිය:
https://www.example.com/olath20_authorize.srf?: සුවිශේෂී (පොස්ට්රේට්_රි=හකවස් /
නැත්නම් මේ:
https://www.example.com/oleph2/authorez? [...]% irate_rui = 2f% 2f% 2f% 2fapps.faptabook.com% 2fapps.facebook.com% 2fapps.fackox.com% 2fapps.face.facex% 2f% 2f.
ඕත්ව ක්රියාත්මක කරන විට, ඔබට සුදු ලැයිස්තුවේ සම්පූර්ණ වසම් සියල්ලම ඇතුළත් කළ නොහැක. යළි-යොමුවීම සඳහා ඉල්ලීමක් නැවත හරවා යැවීම "යළි-යොමුවීම_රි" වෙත එකතු කළ යුතු URL කිහිපයක් පමණක් එකතු කළ යුතුය.
හරස් රේඛා ඉල්ලීම් මැඩපැවැත්වීමඅන්තර්-විරුද්ධ ඉල්ලීමක් ඇති විය හැක්කේ ප්රහාරකයෙක් තම සම්බන්ධය මත ක්ලික් කිරීම සාර්ථක කර ගැනීමත්, තමා ජනනය නොකරන ලෙස ඉල්ලීමක් ජනනය කිරීමත් සමඟ ය. හරස් රේඛා ඉල්ලීම් මැඩපැවැත්වීම සාමාන්යයෙන් CSRF ටෝකනය සමඟ මෘදු වන අතර එය පරිශීලක සැසිය සමඟ සම්බන්ධ වේ. ඉල්ලීම එවූ පුද්ගලයෙකුගේ පුද්ගලයා පරීක්ෂා කිරීමට එය යෙදුමට උපකාරී වේ. Oauth Protocol හි "රාජ්ය" පරාමිතිය CSRF ටෝකනය ලෙස සේවය කරයි.
ව්යාකූලත්වය පිළිබඳ ආයතනික සංස්ථාව විසින් ප්රහාරය සිදු කරන්නේ කෙසේදැයි බැලීම වටී, අවදානම ඇතිවීමේ ප්රති experience ල අවම කිරීම සඳහා "රාජ්ය" පරාමිතිය භාවිතා කළ හැකිය.
හැකර් වෙබ් අයදුම්පතක් විවෘත කර, ඕමුත් භාවිතා කරමින් සේවා සැපයුම්කරු වෙත ප්රවේශ වීම සඳහා බලය පැවරීමේ ක්රියාවලිය දියත් කරයි. අයදුම්පත සැපයිය යුතු ප්රවේශය සඳහා අයදුම්පත සේවා සැපයුම්කරුවෙකුගෙන් ඉල්ලා සිටී. හැකර් සේවා සැපයුම්කරුවන්ගේ වෙබ් අඩවියට හරවා යවනු ලැබේ, එහිදී ඔබට සාමාන්යයෙන් ප්රවේශය අවසර දීම සඳහා ඔබේ පරිශීලක නාමය සහ මුරපදය ඇතුළත් කළ යුතුය. ඒ වෙනුවට, හැකර් මෙම ඉල්ලීම අල්ලාගෙන එහි URL එක බේරා ගනී. හැකර් කෙසේ හෝ මෙම URL එක විවෘත කිරීමට ගොදුරු වේ. වින්දිතයා තම ගිණුම භාවිතා කරමින් සේවා සැපයුම්කරුගේ පද්ධතියට ඇතුළු වූයේ නම්, එහි අක්තපත්ර බලය පැවරීමේ කේතයක් නිකුත් කිරීමට භාවිතා කරනු ඇත. බලය පැවරීමේ කේතය ප්රවේශ ටෝකනයට ප්රවේශය හුවමාරු කර ගනී. දැන් යෙදුමේ හැකර් ගිණුමට බලය ඇත. එයට වින්දිතයාගේ ගිණුමට ප්රවේශ විය හැකිය.
ඉතින්, මෙම තත්වය "රාජ්ය" පරාමිතිය භාවිතයෙන් වළක්වා ගන්නේ කෙසේද?
අයදුම්පත Googs ඇති ප්රභව ගිණුම මත පදනම් වූ වටිනාකමක් නිර්මාණය කළ යුතුය (උදාහරණයක් ලෙස, පරිශීලක සැසිය හැෂ් යතුර භාවිතා කරන්න). එය එතරම් වැදගත් නොවේ, ප්රධාන දෙය නම් අගය අද්විතීය වන අතර මුල් පරිශීලකයා පිළිබඳ පුද්ගලික තොරතුරු භාවිතා කිරීම. එය "රාජ්ය" පරාමිතියට පවරා ඇත.
යළි හරෂය කිරීමේදී මෙම අගය සේවා සපයන්නාට සම්ප්රේෂණය වේ. ඔහු රඳවා ගත් URL එක විවෘත කරන ලෙස හැකර්වරයා ගොදුරට ආරාධනා කරයි.
බලය පැවරීමේ කේතය නිකුත් කර "රාජ්ය" පරාමිතිය සමඟ සැසිවාරයේදී සේවාදායකයා වෙත ආපසු යවනු ලැබේ.
සේවාදායකයා සැසි තොරතුරු මත පදනම් වූ පරාමිති අගය ජනනය කරන අතර එය "රාජ්ය" අගය සමඟ සංසන්දනය කරන අතර එය සේවා සැපයුම්කරුට බලය පැවරීමේ ඉල්ලීමෙන් ආපසු යවන ලදි. මෙම අගය විමසුමේ "රාජ්ය" පරාමිතියට නොගැලපේ, මන්ද එය ජනනය කර ඇත්තේ වත්මන් සැසිය පිළිබඳ තොරතුරු පදනම් කරගෙන පමණි. එහි ප්රති As ලයක් ලෙස, ලබාගත් අගය පද්ධතිය විසින් පිළිගනු නොලැබේ.
XSSS (හරස්-අඩවි ස්ක්රිප්ටය) "යළි-ටෙක්ස්-ෆ්රෙරි" පරාමිතිය ක්රියාත්මක කිරීමේදී අනාවරණය කර ඇති අනෙකුත් අවදානම්, outh පුද්ගලික යතුරු සැකසුම (ජංගම යෙදුමක් අවලංගු කිරීමේදී යතුර ලබා ගත හැකිය) සහ බලය පැවරීමේ කේත රීති උල්ලං .නය කිරීම (කවදාද? බලය පැවරීමේ කේතය බහු පිවිසුම් ටෝකන නිකුත් කිරීමට කිහිප වතාවක් භාවිතා කළ හැකිය). ඉහත විස්තර කර ඇති ඒවාට වඩා මෙම අවදානම් පොදු දෙයක්, නමුත් එය අඩු භයානක නොවේ. එහි වෙබ් අයදුම්පතේ විශ්වාසදායක ක්රියාකාරිත්වය සහතික කිරීම සඳහා සංවර්ධකයා විසින් අවශ්ය සියලු භාවිතයන් දැන සිටිය යුතුය.
පරිවර්තනය කළ ලිපියේ කතුවරයා: සයිමන් සාලිබා.
වැදගත්! තොරතුරු අධ්යයන අරමුණු සඳහා පමණක්. කරුණාකර නීති සම්පාදනයකට අනුකූල වන අතර නීති විරෝධී අරමුණු සඳහා මෙම තොරතුරු අදාළ නොකරන්න.
සිස්කොක්බ්.රු හි වඩාත් රසවත් තොරතුරු. අපට දායක වන්න: ෆේස්බුක් | Vk | ට්විටර් | Instagram | විදුලි පණිවුඩය | සෙන් | මැසෙන්ජර් | ICQ NEW | යූ ටියුබ් | ස්පන්දනය.