Von OAuth 2.0 bis OpenID Connect - Funktionsweise und Sicherheitsaspekte

TAGS: sso, authorization, authentication, oauth

Art des Beitrags: Vortrag
Dauer: 60 Minuten

Inhalt


OAuth 2.0 ist eine Framework zum Delegieren von Autorisierungen. Dies ist immer dann nützlich, wenn einer Anwendung Zugriff auf bestimmte Daten gewähren sollen, ohne ihr zu viele Zugriffsrechte einzuräumen. Ein Beispiel ist der Zugriff auf den Google-Kalender über Thunderbird: In früheren Versionen ist hierfür das Google Passwort verwendet worden, welches den Zugriff auf den vollständigen Account erlaubt. Mithilfe von OAuth 2.0 können die Zugriffsrechte der Anwendung eingeschränkt werden. Thunderbird erhält somit nur Zugriff auf den Kalender. Neben Desktop Anwendungen und Smartphone Apps wird OAuth 2.0 häufig im Web um Zugriff auf die Daten von beispielsweise Facebook, Google und Twitter zu erhalten.

Der Vortrag geht auf den Nutzen von OAuth ein und erklärt das Protokoll, sowie die OAuth Single Sign-On Erweiterung OpenID Connect. Es werden Angriffe und Probleme identifiziert, die Entwickler und Administratoren berücksichtigen müssen, wenn OAuth eingesetzt werden soll.

Redner


Christian Mainka ist Doktorand am Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum. Seit 2009 beschäftigt er sich mit der Sicherheit von XML und hat im selben Jahr das erste Webservice-spezifische Penetrationstest Tool WS-Attacker entwi- ckelt. Seitdem verbessert und erweitert er das Programm stetig, sodass es mittlerweile ein breites Spektrum der bekannten Angriffe auf Webservices voll-automatisch abdecken kann. Seine Forschung umfasst das Thema Nachrichtensicherheit und ist Author zahlreicher wissenschaftlicher Veröffentlichungen im Bereich XML Sicherheit, Webservices und Single Sign-On. 2014 Gründete er mit drei Kollegen die 3curity GmbH die sich auf Schulungen und Penetrationstest im Bereich XML, Single Sign-On und TLS spezialisiert.