Azure ACS — URL-адрес утверждений отображается в истории браузера — дыра в безопасности?

Нашел официальную демонстрацию ACS http://www.fabrikamshipping.com/ во время изучения ACS.
В самом приложении, когда войдя в систему с помощью одного из провайдеров (я выбрал Google), я вижу в истории браузера URL-адрес, содержащий претензии, возвращенные из ACS. Это URL-адрес, который начинается с:

https://fabrikamshipping.accesscontrol.windows.net/v2/openid?context=pr%3dwsfederation%26rm%3dhttp%253a%252f%252ffabrikamshipping%252fcons...

При переходе по этому URL-адресу я регистрируюсь в приложении даже после очистки всего кеша браузера и файлов cookie.
Поэтому, если я войду в приложение с общедоступного компьютера, а затем выйду, моя учетная запись раскрывается при переходе по этому URL-адресу в истории браузера.

Я знаю, что это стандартный способ работы с идентификацией ACS.
Что я здесь упустил?


authentication azure security claims-based-identity wif
person Yaron Levi    schedule 05.02.2012    source источник
comment
Отличное наблюдение, Ярон! Я собираюсь добавить ссылку на ваше обсуждение с ребятами из MSFT, если вы не возражаете.   -  person Dmitry Selitskiy    schedule 20.02.2012
comment
Кстати, такая же проблема возникает при входе в Facebook через ACS.   -  person Dmitry Selitskiy    schedule 20.02.2012

Ответы (2)


arrow_upward
1
arrow_downward

Вы не пропали. Этот URL-адрес позволит вам войти в систему, даже если все файлы cookie будут очищены. Однако при входе на общедоступный компьютер вы должны быть более осторожны со своими учетными данными. Очистка истории сотрет этот URL из истории браузеров.

Кроме того, я фактически не вижу URL-адрес претензий в своей истории.

Еще одним способом защиты ваших личных данных является использование «В сеансе частного просмотра" для выбранного вами браузера. Обратите внимание, что кому-то очень сложно увидеть, не говоря уже о том, чтобы запомнить этот URL. Вы его получили, потому что скопировали из браузера в момент редиректа.

person astaykov    schedule 06.02.2012
comment
Попробуйте использовать Chrome, и вы увидите URL-адрес в истории. Тем не менее, я не могу принять это. Как кто-то может использовать ACS Identity, когда в нем такая большая дыра в безопасности. Если я не буду использовать ACS и реализую свой собственный вход в Google и Facebook, такой дыры в безопасности не будет — пользователи могут заходить на мой сайт с общедоступного компьютера, и им не нужно будет помнить, что нужно входить на него в приватном режиме. - person Yaron Levi; 06.02.2012
comment
Хм, Собственно, чтобы продолжить разговор. Похоже, это просто проблема с выходом из системы. При использовании проверки подлинности утверждений и поставщика удостоверений полученный URL-адрес утверждений будет работать, только если у вас есть существующий сеанс с выбранным поставщиком удостоверений. Если вы выйдете из поставщика удостоверений, полученный URL-адрес не позволит вам войти в приложение. - person astaykov; 08.02.2012
comment
ты сам пробовал? Я вхожу на сайт fabrikamshipping.com. Затем выйдите из моей учетной записи Google и очистите весь кеш браузера и файлы cookie, чтобы убедиться. Закройте браузер. Откройте его снова и перейдите по URL-адресу Claims — вы вошли. - person Yaron Levi; 08.02.2012
comment
проводной. Я попробовал точно так же, и я смог войти обратно в fabrikam shipping :| - person astaykov; 08.02.2012
comment
Очень проводной. Кроме того, это похоже на распространенную проблему. Посмотрите на этот пост, rmencia.wordpress.com/ 05/05/2010/ . Посмотрите, что он говорит в конце поста «Второй улов». Это проблема, с которой мы сталкиваемся. (Нажав кнопку «Назад», вы перейдете к URL-адресу претензий, о котором мы говорим) - person Yaron Levi; 08.02.2012

arrow_upward
0
arrow_downward

Я открыл ту же тему на официальных форумах Azure:

http://social.msdn.microsoft.com/Forums/en-US/windowsazuresecurity/thread/8f35d6d7-fe0d-4589-9502-54c85714979a

Вроде известная проблема. Я обновлю ответ здесь, как только будет предоставлено решение.

person Yaron Levi    schedule 20.02.2012