Une vulnérabilité dans #Oauth… et ton #Facebook hacké
http://reflets.info/une-vulnerabilite-dans-oauth-ton-facebook-hacke
Le SSO, ou Single Sign On est une méthode d’authentification à des services web. OAuth, c’est le SSO de Facebook qui vous permet par exemple d’aller commenter certains sites de presse ou de jouer à de petits jeux. Aujourd’hui, Nir Goldshlager nous en raconte un bien bonne. Une faille béante concernant le lien du bouton d’autorisation [...]
[Pas de panique, SeenThis n’utilise pas OAuth.]
RFC 6819 : OAuth 2.0 Threat Model and Security Considerations
Le protocole d’autorisation sur le Web #OAuth version 2 est riche, voire complexe. Son cadre général est décrit dans le RFC 6749. Et ce nouveau #RFC documente les questions de sécurité liées à OAuth v2. Quelles sont les menaces ? Quels sont les risques ? Et comment OAuth gère-t-il ces risques ?
La version 2 du protocole d’authentification Web #OAuth commence à sortir, avec la publication du #RFC 6749 « The OAuth 2.0 Authorization Framework »
http://www.bortzmeyer.org/6749.html
Tiens, si SeenThis pensait à utiliser OAuth un jour, pour qu’on puisse se connecter sur SeenThis avec un compte Twitter ? Ou, plus intéressant politiquement, sur Twitter avec un compte SeenThis ? :-)
C’est pas un peu mort-né OAuth 2 ? Cf http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell
Pour SeenThis, j’aimerais surtout pouvoir me logger et qu’il s’en souvienne plus de deux minutes :)
Oui enfin l’API OAuth livrée dans PECL est déjà au top, donc je vois pas trop l’intérêt...
For instance, the PECL OAuth extension is very complete in terms of the functionality that is necessary to build OAuth based consumer or provider sites. However, using it is like having all the pieces of a large puzzle and guessing how each piece should be assembled to solve the whole puzzle.
Vous savez si y’a un truc de ce genre qui marche avec #SPIP (Je veux dire pour se connecter à un SPIP avec un compte tiers, mais c’est vrai que ça pourrait être l’inverse) ?
J’ai cherché un peu sur le zone, et trouve que le plugin microblog qui à l’air d’en faire un peu...
Twitter, archives and hacking
http://olivier.thereaux.net/2011/03/06/twitter-archives-and-hacking
In a way, I guess that the current trend of forcing users to register applications and using complex authentication methods deters the hackers and amateurs, and leaves only the “developers” who are out to make big apps and hopefully some money too. As a weekend hacker and champion of hacker culture and babystep innovation, this saddens me a bit.
#OAuth : The Big Picture - Free #eBook
http://blog.apigee.com/detail/oauth_the_big_picture_-_free_e-book
If you want to understand how OAuth fits with APIs and the emerging world of open platforms, its advantages and challenges, what role it might play for your products
version PDF :
http://info.apigee.com/Portals/62317/docs/oauth_big_picture.pdf
et une doc bien claire sur les jolies façons de coder une API
http://info.apigee.com/Portals/62317/docs/web%20api.pdf
lukaszkorecki/RequestPack - GitHub
https://github.com/lukaszkorecki/RequestPack
#RequestPack consists of two classes which make consuming #REST services really easy.
It’s built for use with web runtimes such as #Titanium Desktop or Google #Chrome Applications.
bytespider/jsOAuth - GitHub
https://github.com/bytespider/jsOAuth
#jsOAuth is a #javascript library implementing the #OAuth protocol. jsOAuth aims to form the basis of custom clients such as Twitter and Yahoo.
Written in JavaScript, jsOAuth aims to be a fully featured open source OAuth library for use in Adobe AIR, Appcelerator #Titanium and PhoneGAP. In fact, anywhere that javascript can be used and has #cross-domain #XMLHttpRequests. For security reasons jsOAuth doesn’t run in the #browser. Browsers are only mentioned here for running the test suite. If you need jsOAuth in the browser, write an extension.
oauth-in-javascript - #oauth implementation in #javascript
https://code.google.com/p/oauth-in-javascript
This is the oauth implementation in javascript. It works in #firefox #addon due to the limitation of cross domain requests for normal websites. There are 2 files that are included.
– oauth.js (contains the core code to do the oauth authentication) - loginPanel.xul (an xul window to display the login page in oauth)
Cette extension fournit un client et un prestataire de service OAuth. OAuth est un protocole d’autorisation qui est construit sur HTTP, et qui permet aux applications de sécuriser l’accès aux données sans avoir à stocker de noms d’utilisateurs et de mots de passe.
http://www.php.net/manual/fr/book.oauth.php
Pour des fois qu’un jour ça me prendrait d’y comprendre quelque chose.
Two tastes better together: Combining OpenID and OAuth with OpenID Connect
http://factoryjoe.com/blog/2010/05/16/combing-openid-and-oauth-with-openid-connect
“making more data available from OpenID users is the first essential step that we must take to regain our footing in the marketplace”
#OpenID #OAuth #OpenID_Connect #clevermarks #gp:links
OAuth Authorization Flow - YDN
http://developer.yahoo.com/oauth/guide/oauth-auth-flow.html
#OAuth #authentification #autorisation #droit #sécurité #Yahoo #schéma #processus #clevermarks
Explaining the OAuth Session Fixation Attack
http://www.hueniverse.com/hueniverse/2009/04/explaining-the-oauth-session-fixation-attack.html
For everyone involved, this was a first-of-a-kind experience: managing a specification security hole (as opposed to a software bug) in an open specification, with an open community, and no clear governance model. Where do you even begin?
#OAuth #faille #sécurité #hack #oups #explication #clevermarks
OAuth: 2009.1
http://oauth.net/advisories/2009-1
A session fixation attack against the OAuth Request Token approval flow (OAuth Core 1.0 Section 6) has been discovered.
Official Google Data APIs Blog: Bringing OpenID and OAuth Together
http://googledataapis.blogspot.com/2009/01/bringing-openid-and-oauth-together.html
The Hybrid Protocol is a result of the ongoing effort by the OpenID and OAuth communities to make these protocols more useful for users and websites. Google is working together with the OpenID community to standardize the new protocol as a formal OpenID extension.
#OAuth #OpenId #Hybrid_Protocol #API #authentification #SSO #standard #clevermarks
XTech 2008: Advanced OAuth Wrangling — IDEAlliance
http://2008.xtech.org/public/schedule/detail/645
OAuth is poised to be one of most important new standards in 2008. A simple standardization of delegated token auth, OAuth makes it straightforward to offer and consume APIs for a class of data under represented in the current set of API offerings—data
#OAuth #API #authentification #autorisation #droit #appel #standard #groupe:clever-age