2019-12-10

Talk @ German OWASP Day 2019
Das Sicherheits-Upgrade für OAuth 2.0

Egal ob Nutzer oder Entwickler: Früher oder später kommt praktisch jeder mit OAuth 2.0 in Berührung. Sei es zur Autorisierung von Zugriffen auf Facebook, Twitter & Co. oder als Basis von OpenID Connect zur Benutzerauthentifizierung. Während das Grundprinzip von OAuth schnell erklärt ist, lauert der Teufel (wie so oft) im Detail: Was ist der sicherste OAuth-Modus? Gegen welche Gefahren müssen sich OAuth-Setups schützen? Welche Erweiterungen bringen mehr Sicherheit?

All diese Fragen beantwortet die IETF mit einem neuen RFC, “OAuth 2.0 Security Best Current Practice”. Dieses Dokument deckt eine breite Palette von Angriffen ab, empfiehlt zur Stärkung der Sicherheit neue Mechanismen wie PKCE und mTLS und schmeißt Altlasten heraus.

In diesem Vortrag stellt einer der Autoren dieses Dokuments die wichtigsten neuen Sicherheitsempfehlungen vor. Dazu werden neue Angriffe auf und Einsatzszenarien für OAuth angesprochen, die letztlich zur Entwicklung des neuen RFCs geführt haben.