Достаточно ли безопасен вход в Facebook?

Я рассматриваю возможность использования входа через Facebook для большого сайта с некоторой «банковской» информацией, такой как просмотр баланса счета. Текущий логин — это система имени пользователя/пароля, в противном случае я не знаю текущих мер безопасности.

Какие есть подводные камни? Пока я думаю о безопасности авторизации и времени безотказной работы.

Достаточно ли безопасен Facebook OAuth 2.0? Только что прочитал, что ведущий автор OAuth 2.0 покинул рабочую группу (см.: http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/), поскольку он «не достигает двух основных целей — безопасность и интероперабельность».


facebook facebook-login security
person Maria Söderberg    schedule 15.08.2012    source источник
comment
Безопасность — это вопрос доверия. Доверяете ли вы и ваши пользователи Facebook?   -  person Emond Erno    schedule 15.08.2012
comment
@DavidStratton - я не говорил, что сайт становится безопасным, потому что вы ему доверяете. Я имел в виду достаточно безопасный. Доверяете ли вы Facebook хранить ваши учетные данные в секрете? Сколько пользователей/разработчиков тестируют фактическую реализацию сайта, такого как facebook? Достаточно безопасный очень расплывчато.   -  person Emond Erno    schedule 15.08.2012
comment
ХОРОШО. Комментарий удален. Я согласен с тем, что Secure достаточно расплывчато на 100%. Извините, я неправильно понял.   -  person David    schedule 15.08.2012

Ответы (1)


arrow_upward
0
arrow_downward

Это было бы лучше на Security.StackExchange.com, НО.

На мой взгляд, это недостаточно безопасно. Я понимаю, что есть потенциальные преимущества, и я понимаю ценность таких систем, как OpenId, OAuth и других подобных механизмов, но я так не думаю, что за этим стоит банковская информация.

Навскидку, вот две причины, по которым я бы больше всего колебался:

  1. Поскольку OAuth используется для многих сайтов, он, вероятно, более привлекателен для злоумышленников.
  2. You're putting your faith in someone else's system. If Facebook gets compromised, suddenly your site is also compromised.
    • While OAuth may be better than anything you can cook up yourself, it also suffers from the fact that you can't monitor activity/invalid logins, etc. Auditing such things is a major part of keeping your site secure.

Джефф Этвуд перечислил достоинства, а также несколько проблем с OpenId (аналогичные) в этот замечательный пост в блоге.

person David    schedule 15.08.2012