最新 | 最热门 | 最高评价

+0  从“黑掉Github”学Web安全开发

Tag: Web开发 | 网络安全 | Gist | github | OAuth | Web | 安全
陈皓 发于 2014年02月10日 08:16 | 点击: 3332 | 展开摘要
Egor Homakov(Twitter: @homakov 个人网站: EgorHomakov.com)是一个Web安全的布道士,他这两天把github给黑了,并给github报了5个安全方面的bug,他在他的这篇blog——《How I hacked Github again》(墙)说明了这5个安全bug以及他把github黑掉的思路。Egor的这篇文章讲得比较简单,很多地方一笔带过,所以,我在这里用我的语言给大家阐述一下黑掉Github的思路以及原文中所提到的那5个bu

查看全文: http://www.udpwork.com/item/11673.html

+0  OAuth授权的XSRF漏洞及其修复

Tag: Web那些事 | 快乐的码农 | oauth | xsrf | 修复 | 漏洞
iAzrael 发于 2012年11月23日 19:18 | 点击: 1219 | 展开摘要
话说前段时间 OAuth2.0 授权被人找出了个漏洞,各个开放平台都有影响,导致一阵恐慌。虽然后来发现其实是夸大其后果了,但也暴露出我们对这个经常用的协议仍一知半解的现状。所以花了点时间,整理了 OAuth1.0 和 2.0 的授权流程、以及其中的隐患和修复方案,供各位同学了解。由于本人也是临阵磨刀,难免疏漏,欢迎指点。

一、OAuth 1.0

a)OAuth1.0的授权流程为

OAuth1.0授权流程(配图取自http://dev.t.qq.com/)

其特点是请求

查看全文: http://www.udpwork.com/item/9599.html

+1  OAuth的改变

Tag: Technical | OAuth
老王 发于 2011年11月08日 11:56 | 点击: 2012 | 展开摘要
去年我写过一篇《OAuth那些事儿》,对OAuth做了一些简单扼要的介绍,今天我打算写一些细节,以阐明OAuth如何从1.0改变成1.0a,继而改变成2.0的。

OAuth1.0

在OAuth诞生前,Web安全方面的标准协议只有OpenID,不过它关注的是验证,即WHO的问题,而不是授权,即WHAT的问题。好在FlickrAuth和GoogleAuthSub等私有协议在授权方面做了不少有益的尝试,从而为OAuth的诞生奠定了基础。

OAuth1.0定义了三种角色:Use

查看全文: http://www.udpwork.com/item/6229.html

+0  如何将TTURLRequest和OAuthConsumer搭配使用

Tag: objective-c | ios | oauth | three20
Volcano 发于 2011年07月01日 13:43 | 点击: 1989 | 展开摘要
TTURLRequest是three20开发框架提供的一个url请求类,它是NSURLRequest类的扩展,有如下优点:

post数据方便,只需要构建一个参数的dictionary就可以了,像get方法一样简单

支持磁盘缓存,而NSURLRequest仅支持内存缓存

因为TTTableViewController + TTURLRequestModel的存在,搭配使用效果良好

在ios的开发中我有时也用到了OAuthConsumer进行oauth授权,利用OAuth

查看全文: http://www.udpwork.com/item/5383.html

+0  [ZZ]HMAC及基于密码的身份认证协议的一些杂谈

Tag: notes | hmac | oauth | otp
suchasplus 发于 2011年03月28日 11:35 | 点击: 1876 | 展开摘要
以前设计API时参考OAUTH针对原有的认证做了改进,  使用了HMAC和OTP等,  但是明显木有下文那么详细的理解和介绍,  转来膜拜一下。

from Changming的blog by snnn119@gmail.com

原文地址: https://www.sunchangming.com/blog/post/3684.form

 

昨天有个朋友给我打电话,询问网络协议设计中

查看全文: http://www.udpwork.com/item/4790.html

+0  基于PECL OAuth打造微博应用

Tag: Technical | OAuth | PHP
老王 发于 2011年01月16日 16:26 | 点击: 5650 | 展开摘要
最近,国内主要门户网站相继开放了微博平台,对开发者而言这无疑是个利好消息,不过在实际使用中却发现平台质量良莠不齐,有很多不完善的地方,就拿PHP版SDK来说吧,多半都是用TwitterOAuth改的,一旦多平台集成,很容易出现命名冲突之类的问题。

既然官方SDK不给力,那我们只能发扬自力更生的革命精神了!好消息是PHP本身已经有了一个标准的OAuth实现:PECL OAuth!下面以此为例来讲解一下如何实现微博应用:

说明:首先需要对OAuth概念有一定的了解,如不清楚可

查看全文: http://www.udpwork.com/item/4679.html

+0  OAuth那些事儿

Tag: Technical | OAuth
老王 发于 2010年10月10日 14:38 | 点击: 1578 | 展开摘要
英国诗人蒲柏在牛顿的墓志铭中写道:“自然和自然的法则在黑暗中隐藏,上帝说,让牛顿去吧,于是一切都被照亮!”,而在保护账号安全方面,OAuth起着如同牛顿般中流砥柱的作用,为什么这么说呢?先让我们看一个例子:

人人网提供了导入MSN联系人的功能,但前提是用户必须提供账号密码,如下图所示:

查找你的MSN联系人中有谁在人人网上

人人网信誓旦旦的宣称不会记录你的密码,它甚至提供了一个所谓保证账号安全的方法:先改密码再导入,成功后再改为原密码。不过这样做就安全了么?

什么是O

查看全文: http://www.udpwork.com/item/5266.html
|<<<1>>>| 一共1页, 7条记录