Einzelnen Beitrag anzeigen

Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.638 Beiträge
 
#11

AW: Edge Browser - Google Login

  Alt 29. Jul 2021, 12:20
Google sagt doch ganz klar dass davon auch bald die allerletzten Reste abgeschaltet werden und man es bitte anders machen soll:
https://developers.googleblog.com/20...-endpoint.html


Wenn man OAuth macht, dann bitte, um Himmels willen, haltet Euch auch an die OAuth-Spezifikation.

Und die sagt ganz klar: Nutzt den jeweils vom Benutzer eingestellten Default-Browser des Systems für die Auth.
Browser ist in der Spec https://datatracker.ietf.org/doc/html/rfc8252 sogardefiniert als:
Zitat:
"browser" The default application launched by the operating system to handle "http" and "https" scheme URI content.
Ganz konkret steht hinten https://datatracker.ietf.org/doc/htm...2#section-8.12:
Zitat:
This best current practice requires that native apps MUST NOT use embedded user-agents to perform authorization requests and allows that authorization endpoints MAY take steps to detect and block authorization requests in embedded user-agents.
Oder auch nochmal hier zusammengefasst: https://www.oauth.com/oauth2-servers...ystem-browser/ (auch von 2017).
Zitat:
Authorization servers should enforce this behavior by attempting to detect whether the authorization URL was launched inside an embedded web view and reject the request if so.
Alles andere ist Quark und vor allem wirklich gefährlich: Die Jungs und Mädels die da an der Spezifikation arbeiten schreiben sowas nicht da rein um uns Entwickler zu ärgern, sondern weil sie von vielen Angriffsmöglichkeiten wissen die sonst möglich sind und vor denen sie uns damit schützen wollen.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat