微博帳號授權登錄會有安全隱患么?
01-14
現在是個網站都會搞個微博帳號登錄,這樣授權給它是否有安全隱患,還有不少微博應用也是
知乎自問自答,求解。。
oauth協議本身是安全的,我覺得站外平台登錄的隱患點在於,第三方平台需要綁定站內的一個賬號,而用戶有可能輸入跟站外平台賬號完全一樣的信息(包括郵箱,手機號,密碼等)。。。
引用微博評論:
亓煊:#知乎問答# 微博帳號授權登錄會有安全隱患么?
@寬寬寬叔:有。 我前男友在我電腦上登錄微博時,雖然沒有點記住密碼,但我還是在他上廁所的時候迅速用他的帳號生成了一個 FaWave 的授權。現在我沒事就翻翻他和新歡的私信。 知道他們過得不好,我就安心了。 http://t.cn/zOHWQWD從傳統的角度來講,看了樓上兩位的貼圖,李開復或者知乎網站的賬號被黑了。但真的是新浪微博被黑了嗎,或者是李開複本人被黑?看那兩條微博的尾巴,都是從脈搏網發出的。我們發現,無論是李開復還是知乎,之前都有類似的,使用脈搏網發出的微博。(李開復的微博|新浪微博,知乎的微博)我們可以理解為,他們之前都有對脈搏網這個app授權,允許它調用自己微博的部分許可權。所以我猜測,這次可能是攻擊者淪陷了脈搏網,獲取到了脈搏網的secret key以及李開復/知乎在脈搏網app上的access token,通過新浪的提供的api,操縱了李開復以及知乎的微博。刺總一篇文章里中國黑客傳說:遊走在黑暗中的精靈說的"V控制了大部分粉絲數量在百萬和千萬級的微博大號",我想大概就是這個意思吧。至於微博的格式內容很像從知乎回答問題後發出的微博,我想應該是攻擊者開的一個玩笑,所以無論李開復或者知乎,都沒有在本問題下回答吧。
再回到問題的本身,微博帳號授權登錄(我這裡把它理解為oauth2)是否有安全隱患。
1. 從目前來看,OAuth2協議本身安全性沒有問題。但很多開發者在運用時,會出現這樣那樣的問題,有些問題是需要開放平台本身來解決,有些問題是需要開發者提高對OAuth2的認識或者安全意識。2. 從上述的例子來看,授權這種方式的存在,降低了攻擊提供授權方(這裡是新浪微博)的難度,攻擊者不需要進入新浪的伺服器或者是暴力猜解用戶在新浪上的密碼,而是通過攻擊用戶授權app的伺服器,同樣可以達到預期的效果。3. 但是從另一個角度來看,如果既需要第三方提供服務(比如用第三方app發表微博),又沒有授權這種方式的存在,用戶只能把賬號以及明文密碼保存在app的伺服器中,如此一來,app伺服器被攻陷後,對於用戶來說,損失更大。所以授權這種方式的存在,是為了在提供服務的同時,儘可能使用戶的風險控制在最低,但是由於「授權」這一動作,已經使得你的賬號安全係數降低了。另外,關於OAuth的一些問題,據說WooYun知識庫近期會出現一篇上萬字的長文進行闡述,敬請期待。
目前微博登錄授權一般都採用的oauth協議,此協議是安全的,具體的話,你可以參考下oauth,http://baike.baidu.com/view/3948029.htm,此協議,每次登錄第三方應用都會生成一個唯一的token,第三方應用驗證也是採用這個token來驗證,而非直接採用微博帳號密碼,即使第三方應用出現安全問題,也不會對微博帳號密碼帶來什麼危害。
以當時的微章授予為例,我在領取了一個中國移動的微章以後,我的真實資料,發布的信息,都能在百度上搜到,然後這個徽章也無法取消,新浪投訴沒人理,我就覺得,渣浪死全家。
有隱患,比如這個網站的技術很爛,token被盜,或者這個網站有些什麼惡意的想法。但基本不會泄露你的隱私。
是安全的,第三方不會獲得密碼。
刪除答案
推薦閱讀:
※如何評價民國無名女神的一生?
※博客會逐漸消失嗎?
※如何看待虎羊cp?虎為什麼不攻擊羊反而和它戀愛?
※fb表情包大戰前因後果及後續發展?
※要是哪一天「回憶專用小馬甲」的妞妞端午掛了,他該怎麼辦?