Frage Schutz von OAuth-Geheimnissen in App Showdown-Einreichungen


Ich nehme am Ubuntu App Showdown teil und mein Beitrag wird Webdienste von Drittanbietern nutzen, die OAuth verwenden, um ihre geschützten Daten an Kunden weiterzugeben. Da die Regeln angeben, dass die App Open Source sein muss, habe ich mich gefragt, ob für eine einzelne Datei, die die OAuth-Geheimnisse enthält, eine Ausnahme gemacht werden könnte, damit sie nicht frei verteilt werden.

Das Risiko bei einem verteilten OAuth-Geheimnis besteht darin, dass sie an bestimmte Apps gebunden sind, sodass der Dienst feststellen kann, welche App welche Daten von welchem ​​Benutzer anfordert. Wenn diese Geheimnisse ans Licht kommen, wird es Parteien mit böswilliger Absicht erlauben, eine Anfrage von einer legitimen App zu imitieren, was zur Folge hat, dass diese App für Fehler verantwortlich gemacht wird, die mit den kompromittierten Zugangsdaten begangen wurden.

Ich wäre bereit, die Beglaubigungsakte den Richtern privat zur Verfügung zu stellen, wenn sie es wünschen.

Angesichts der allgemeinen Anforderung, dass Einreichungen in das Software-Center als Open-Source-Lösung gelten, könnte eine solche Ausnahme möglicherweise auch in der Einreichungsrichtlinie vorgenommen werden.


4
2018-06-16 11:33


Ursprung




Antworten:


Abhängig davon, welchen Webdienst Sie verwenden möchten, lautet die Antwort:

1) Sie können nicht, Punkt

Wenn der Dienst es absolut erfordert, dass Sie das Token-Geheimnis vollständig schützen, sind Desktop-Anwendungen kein Glück mehr. Selbst bei Closed-Source-Anwendungen können ihre Binaries überprüft oder bei HTTP-Anfragen Speicherauszüge erstellt werden. Wenn der Web-Service eine solche starre Regel durchsetzt, sind sie entweder nicht mit der Realität in Verbindung oder erwarten, dass nur Web-Anwendungen ihre API verwenden.

2) Nur verschleiern

Einige Webdienste sind tolerant, wenn Sie das Geheimnis einfach nicht machen sofort verfügbar. Verwenden Sie einfach ein einfaches reversibles Verschleierungsschema, bei dem die Quelle nicht geschlossen werden muss.

3) Schützen Sie sich überhaupt nicht

Du kannst sehen Hier Google ist ein Beispiel für einen Dienst, der erkennt, dass der vollständige geheime Schutz ein verlorener Kampf um Desktop-Apps ist. Für diejenigen, können Sie den Schlüssel in die Open Source und glücklich sein.

Ich empfehle Ihnen daher, sich an den Kundendienst zu wenden und sich zu erkundigen, in welchem ​​Fall Sie sich befinden.


4
2018-06-16 13:24



Es könnte eine gute Idee sein, eine Warnung hinzuzufügen, die den Schlüssel für andere Apps in den Quellkommentaren und / oder in der COPYRIGHT-Datei nicht wieder verwendet, und anderen zu empfehlen, ihren eigenen Schlüssel anzufordern. (In der Theorie können Sie sie verklagen, weil sie Ihren Schlüssel missbraucht haben, nehme ich an, besonders wenn sie Probleme verursachen und Ihren Ruf beschädigen ...) - JanC