Informelle Sicherheitsanalyse von “OAuth 2.0 for First-Party Applications”

Abstract

Diese Arbeit behandelt die informelle Sicherheitsanalyse der Spezifikation „OAuth 2.0 for First-Party Applications“. Die Spezifikation stellt eine Erweiterung des OAuth-2.0-Protokolls für First-Party Anwendungen dar. First-Party Anwendungen werden vom gleichen Unternehmen wie dem Authorization Server (AS) betrieben. Die Spezifikation verfolgt das Ziel, ein benutzerfreundlicheres und sichereres Protokoll für die Nutzer bereitzustellen. Im Gegensatz zum herkömmlichen OAuth 2.0 Flow, bei dem der Benutzer zwingend an den AS im Browser weitergeleitet wird, ermöglicht die First-Party-Spezifikation in den meisten Fällen eine direkte Authentifizierung innerhalb der Anwendung. Dafür gibt der User seine Anmeldedaten direkt an den First-Party Client weiter, der sie anschließend an den AS sendet. Um dies zu ermöglichen, führt die Spezifikation den Authorization Challenge Endpoint und den Auth Session Parameter ein. Zunächst beschreibt diese Arbeit die verschiedenen Flows der Spezifikation. Dazu gehören der Normalfluss, bei dem der User in der First-Party Anwendung bleibt, sowie die Sonderfälle Redirect-to-Web und Pushed Authorization Request (PAR), bei denen der User die Anwendung verlassen muss und weitergeleitet wird. Außerdem werden die Erweiterungen Proof Key for Code Exchange (PKCE) und Demonstration of Proof-of-Possession (DPoP) beschrieben, die für zusätzliche Sicherheit sorgen. Darauf aufbauend findet die informelle Sicherheitsanalyse der Spezifikation statt. Es werden zunächst verschiedene Annahmen über das Protokoll und die betrachteten Angreifer getroffen. Außerdem werden die Sicherheitsziele Authorization und Session Integrity for Authorization definiert. Für den Normalfluss kann die Erfüllung der Sicherheitsziele gezeigt werden. Im PAR-Flow kann Session Integrity for Authorization in einem bestimmten, in der Praxis aber eher unüblichen Fall, nicht garantiert werden. Beim Redirect-to-Web-Flow gelingt es Angreifern, sowohl Authorization als auch Session Integrity zu verletzen, solange keine zusätzlichen Sicherheitsmaßnahmen getroffen werden. Die betreffenden Angriffe stellen im Wesentlichen generelle Probleme der Weiterleitung in OAuth 2.0 dar, die teilweise durch den Einsatz von DPoP verhindert werden können. Es lässt sich feststellen, dass der Normalfluss eine sinnvolle Erweiterung zu OAuth 2.0 ist und sowohl Sicherheit als auch eine verbesserte Benutzerfreundlichkeit für den User garantiert. Im Ausnahmefall ist der PAR-Flow die sicherere Alternative zum Redirect-to-Web-Flow und sollte vom Client bevorzugt werden. Die Sicherheit von Redirect-to-Web kann durch zusätzliche Maßnahmen, wie der verpflichtenden Nutzung von DPoP, erhöht werden.