1. Inicio
  2. Pregunta y respuesta
  3. Azure ACS: URL de notificaciones expuesta en el historial del navegador: ¿agujero de seguridad?

Azure ACS: URL de notificaciones expuesta en el historial del navegador: ¿agujero de seguridad?

2012-02-05 20 views
5

Encontré esta demo oficial de ACS http://www.fabrikamshipping.com/ mientras investigaba en ACS.
En la aplicación en sí, al iniciar sesión con uno de los proveedores (elegí Google), puedo ver en el historial del navegador la URL que contiene los reclamos devueltos por ACS. Es la dirección URL que comienza con:Azure ACS: URL de notificaciones expuesta en el historial del navegador: ¿agujero de seguridad?

https://fabrikamshipping.accesscontrol.windows.net/v2/openid?context=pr%3dwsfederation%26rm%3dhttp%253a%252f%252ffabrikamshipping%252fcons ...

ir a esta dirección URL me registra en la aplicación, incluso después de la limpieza de todo caché del navegador y las cookies.
Así que si inicio sesión en la aplicación desde alguna computadora pública y luego cierro sesión, mi cuenta queda expuesta yendo a esta URL en el historial del navegador.

Sé que esta es la manera estándar en que funciona el manejo de identidad ACS.
¿Qué me falta aquí?

Fuente

2012-02-05 Yaron Levi

+0

Gran observación Yaron! Voy a agregar el enlace a su discusión con chicos de MSFT aquí si no les importa. –

+0

Por cierto, el mismo problema se aplica al inicio de sesión de Facebook a través de ACS –

Respuesta

1

Usted no se ha perdido. Esta URL iniciará sesión, incluso se borran todas las cookies. Sin embargo, cuando vayas a una computadora pública, debes tener más cuidado con tus credenciales. El historial de borrado borrará esta URL del historial de navegadores.

Además, en realidad no veo la URL de las reclamaciones en mi historial.

Otra forma de proteger sus datos personales es utilizando "In Private Browsing session" para el navegador que elija. Tenga en cuenta que es muy difícil para alguien ver, sin mencionar recordar esa URL. Lo conseguiste, porque copiaste desde el navegador en el momento de redirigir.

Fuente

2012-02-06 07:59:39 astaykov

+0

Intente utilizar Chrome, y verá la URL en el historial. Aún así, no puedo aceptar esto. ¿Cómo puede alguien usar ACS Identity cuando tiene un agujero de seguridad tan grande? Si no utilizaré ACS e implementaré mi propio nombre de usuario de Google y Facebook, ese agujero de seguridad no existirá: los usuarios pueden ir a mi sitio en una computadora pública y no tendrán que recordar ingresar en modo privado. –

+0

Hm, en realidad para continuar la conversación. Parece ser solo un problema de "cierre de sesión". Al usar la autenticación de reclamaciones y el proveedor de identidades, la URL de reclamos que obtuvo solo funcionará si tiene una sesión existente con el proveedor de identidad elegido. Si cierra la sesión del proveedor de identidades, la URL obtenida no iniciará sesión con la aplicación. – astaykov

+1

has probado tú mismo? Me conecto a fabrikamshipping.com. Luego cierre sesión en mi cuenta de Google y borre todo el caché y las cookies del navegador solo para estar seguro. Cierra el navegador Ábralo de nuevo y vaya a la URL de reclamos. Está en. –

Cuestiones relacionadas

 Cuestiones relacionadas