Embed Size (px)
Citation preview
Universidad Mariano Gálvez
Maestría en Informática
Kevyn Alexander Aguilar Ramírez 2392-07-14893
Julio Rabí Girón Carrera 2392-07-14994
Seguridad en RedesDr. Orestes Febles
OAUTH
OAUTH (Open Authorization)
- Es un estándar abierto para la autorización.
- OAuth permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
OAUTH (Open Authorization)
Una API (Interfaz de programación de aplicaciones) es el conjunto de funciones y procedimientos (o métodos, en la programación orientada a objetos) que ofrece cierta biblioteca para ser utilizado por otro software como una capa de abstracción.
OAUTH (Open Authorization)
- Propuesto por Blaine Cook y Chris Messina, borrador definitivo el 3 Octubre de 2007.
- El Protocolo OAuth 1.0 fue publicado como RFC 5849, en abril de 2010.
- OAuth 2.0 fue publicado como RFC 6749, y el uso Portador Token como RFC 6750, en octubre de 2012. RFC adicionales todavía se está trabajando.
OAUTH (Open Authorization)
Diseñado específicamente para trabajar con el Protocolo de transferencia de hipertexto (HTTP).
OAuth utiliza tokens de acceso que se emitirán a clientes de terceros por un servidor de autorización, con la aprobación del propietario del recurso, o el usuario final. El cliente utiliza entonces el token de acceso para acceder a los recursos protegidos alojados en el servidor de recursos.
OAUTH (Open Authorization)
OAuth es comúnmente usado por los usuarios de Internet para iniciar sesión en sitios web de terceros usando sus cuentas de Google, Facebook o Twitter, sin tener que preocuparse que sus credenciales de acceso sean comprometidos.
Como Funciona (Ejemplo loguearse en SlideShare con Facebook)
1. Para convertirse en una aplicación de Facebook, SlideShare adquirió dos tokens del servicio de Facebook: una “Consumer Key” (Clave de Consumidor) y una “Consumer Secret” (Secreto de Consumidor). Estos son los elementos que crean una conexión entre el consumidor (en este caso, SlideShare) y el proveedor del servicio (en este caso, Facebook).
Como Funciona (Ejemplo loguearse en SlideShare con Facebook)
2. Cuando quieres acceder a SlideShare a traves de Facebook, SlideShare te redirecciona a la portada de Facebook. Si no estás loggeado, te loggeas en ese momento (recuerda que le estás dando tu usuario y contraseña a Facebook, no a SlideShare).
Como Funciona (Ejemplo loguearse en SlideShare con Facebook)
3. Cuando presionas el botón “Entrar”, se crea un “Access Token” (Vale para acceso) y un “Access Token Secret” (Vale para acceso secreto). Son como contraseñas, permiten que SlideShare acceda a tu cuenta y obtener información de tu perfil.
¿Es seguro?Autenticarse en una aplicación utilizando OAuth es mas seguro que el uso de usuario y password tradicional.
¿Por Qué?
Utilizando modo Tradicional
En un Modo Tradicional al ingresar usuario y password, se verifica en la base de datos el usuario, si la aplicación sufre un ataque de intercepción se pueden comprometer las credenciales de acceso del usuario, por lo tanto usar el modo tradicional es poco seguro, en cambio, veamos como funciona OAUTH en la siguiente diapositiva.
Utilizando OAUTH
Ventajas- Si la aplicación es Hackeada, los usuarios y contraseñas de los usuarios quedan a salvo en otro servidor de autorización, por ejemplo Twitter.
- Cada par de tokens es único. Cada sitio web o aplicación tiene un par distinto para cada usuario, así que, aunque alguien consiguiese todos los pares de todos los usuarios, no le servirían de nada porque sólo sirven para acceder a Twitter/Facebook por ejemplo, desde un único sitio.
Desventaja
La gran desventaja de esta innovación es que algunas aplicaciones a las que se acceden usando Facebook o Twitter postean en tu perfil.
RecomendaciónPara evitar problemas de posteo por parte de las aplicaciones, asegúrate de leer la política de privacidad de cada aplicación a la que te conectas, y si puedes, presta atención a los permisos que cada aplicación obtiene. Si detectas algo que no quieres que la aplicación haga, simplemente no la uses o busca en sus configuraciones si se puede desactivar.
Mas Información sobre OAUTHOAuth, Wikipedia: http://en.wikipedia.org/wiki/OAuth
An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications: http://oauth.net/
Seguridad en Oauth 2.0, INTECO: http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Seguridad_OAuth_2_0
What is OAuth?, Twitter Developers: https://dev.twitter.com/docs/auth/oauth/faq
Facebook Login, Facebook Developers: https://developers.facebook.com/docs/facebook-login/v2.0
VideoTutorial Login con Twiteer OAuth y PHP: https://www.youtube.com/watch?v=LTDxLFeXx-M
¡MUCHAS GRACIAS POR SU ATENCION!
![[MS-OAPX]: OAuth 2.0 Protocol Extensions... · 1 Introduction The OAuth 2.0 Protocol Extensions specify extensions to [RFC6749] (The OAuth 2.0 Authorization Framework). When no operating](https://img.pdfslide.net/doc/110x75/60082d68c605b955402f5b41/ms-oapx-oauth-20-protocol-extensions-1-introduction-the-oauth-20-protocol.jpg)
![The Devil is in the (Implementation) Details: An Empirical ... · OAuth 2.0, Web Single Sign-On 1. INTRODUCTION OAuth 2.0 [19], an open and standardized web resource authorization](https://img.pdfslide.net/doc/110x75/5f89b245a029196e400af65b/the-devil-is-in-the-implementation-details-an-empirical-oauth-20-web-single.jpg)
![[MS-OAPX]: OAuth 2.0 Protocol Extensions · PDF fileThe OAuth 2.0 Protocol Extensions specify extensions to [RFC6749] (The OAuth 2.0 Authorization Framework). When no operating system](https://img.pdfslide.net/doc/110x75/5abb341e7f8b9a24028c5b5f/ms-oapx-oauth-20-protocol-extensions-oauth-20-protocol-extensions-specify-extensions.jpg)
![[MS-ADFSOAL]: Active Directory Federation Services …... · Active Directory Federation Services OAuth Authorization Code ... Active Directory Federation Services OAuth ... Federation](https://img.pdfslide.net/doc/110x75/5ae61a947f8b9a6d4f8c406b/ms-adfsoal-active-directory-federation-services-directory-federation-services.jpg)
