это брайан смит-суини, он возглавляет управление рисками информационной безопасности в two sigma он выступил с докладом на black hat в 2023 году два года назад, в 2021 году, он случайно обнаружил новую уязвимость в oauth от google он подчеркивает, что вектор атаки не ограничивается только google

@twosigma @BlackHatEvents это не связано с вектором, который я опубликовал, кроме того, что это также oauth это проще, требует явного согласия, хотя и от одного сервиса google к другому сервису google фокус в том, что это не google это третья сторона, выдающая себя за google и добивающаяся успеха

"если вы скажете своим пользователям искать [разрешение на стороннее приложение], они его не найдут"

@BlackHatEvents в своем исследовании oauth от google он замечает странную строку он декодирует её и ищет документацию в ней говорится, что сервер авторизации google должен вернуть код авторизации *в строке заголовка браузера*

@twosigma "я не знаю, сколько из вас когда-либо участвовали в разработке системы безопасной передачи сообщений или хранения учетных данных" "я не знаю, думали ли вы когда-нибудь, куда нам это положить? положите это в строку заголовка браузера" "мне легко шутить, глядя назад"

@BlackHatEvents мне было трудно в это поверить, и я сам пошел это проверить

это было реально

после того как он находит декодированную строку, он также находит ее упоминание в списке рассылки пост написан соавтором многих спецификаций oauth, включая RFC 8252, спецификацию oauth, о которой идет речь у него нет ничего хорошего, чтобы сказать

вектор имеет такую же прочность, как и тот, который я опубликовал снова, на уровне авторизации, токены oauth используются после аутентификации он также отмечает, что в случае компрометации аккаунта сброс пароля не имеет никакого эффекта также традиционные механизмы восстановления, как правило, не работают

@BlackHatEvents даже в более детализированных механизмах API Google Workspaces он отмечает, что контроль доступа не влияет на приложения Google первого уровня приложения Google первого уровня — это то место, где появляется его приложение, не относящееся к Google

в этом я тоже в значительной степени согласен

@BlackHatEvents он также предупреждает о токенах oauth "эти вещи живут вечно"

мне нравится, как он заканчивает он говорит: здесь, в Two Sigma, мы ценим обучение и изучение затем он добавляет: если вы спросите меня о чем-то или расскажете мне что-то, где каждый из нас чему-то научится, я дам вам немного сувениров от Two Sigma неудивительно, это колода карт