1. Universidad Mariano Gálvez
Maestría en Informática
Kevyn Alexander Aguilar Ramírez 2392-07-14893
Julio Rabí Girón Carrera 2392-07-14994
Seguridad en Redes
Dr. Orestes Febles
3. OAUTH (Open Authorization)
- Es un estándar abierto para la autorización.
- OAuth permite autorización segura de una API de modo
estándar y simple para aplicaciones de escritorio, móviles y
web.
4. OAUTH (Open Authorization)
Una API (Interfaz de programación de aplicaciones) es el
conjunto de funciones y procedimientos (o métodos, en la
programación orientada a objetos) que ofrece cierta biblioteca
para ser utilizado por otro software como una capa de
abstracción.
5. OAUTH (Open Authorization)
- Propuesto por Blaine Cook y Chris Messina, borrador
definitivo el 3 Octubre de 2007.
- El Protocolo OAuth 1.0 fue publicado como RFC 5849, en
abril de 2010.
- OAuth 2.0 fue publicado como RFC 6749, y el uso Portador
Token como RFC 6750, en octubre de 2012. RFC adicionales
todavía se está trabajando.
6. OAUTH (Open Authorization)
Diseñado específicamente para trabajar con el Protocolo de
transferencia de hipertexto (HTTP).
OAuth utiliza tokens de acceso que se emitirán a clientes de
terceros por un servidor de autorización, con la aprobación del
propietario del recurso, o el usuario final. El cliente utiliza
entonces el token de acceso para acceder a los recursos
protegidos alojados en el servidor de recursos.
7. OAUTH (Open Authorization)
OAuth es comúnmente usado por los usuarios de Internet
para iniciar sesión en sitios web de terceros usando sus
cuentas de Google, Facebook o Twitter, sin tener que
preocuparse que sus credenciales de acceso sean
comprometidos.
8. Como Funciona (Ejemplo loguearse
en SlideShare con Facebook)
1. Para convertirse en una aplicación de Facebook,
SlideShare adquirió dos tokens del servicio de Facebook: una
“Consumer Key” (Clave de Consumidor) y una “Consumer
Secret” (Secreto de Consumidor). Estos son los elementos
que crean una conexión entre el consumidor (en este caso,
SlideShare) y el proveedor del servicio (en este caso,
Facebook).
9. Como Funciona (Ejemplo loguearse
en SlideShare con Facebook)
2. Cuando quieres acceder a SlideShare a traves de
Facebook, SlideShare te redirecciona a la portada de
Facebook. Si no estás loggeado, te loggeas en ese momento
(recuerda que le estás dando tu usuario y contraseña a
Facebook, no a SlideShare).
10. Como Funciona (Ejemplo loguearse
en SlideShare con Facebook)
3. Cuando presionas el botón “Entrar”, se crea un “Access
Token” (Vale para acceso) y un “Access Token Secret” (Vale
para acceso secreto). Son como contraseñas, permiten que
SlideShare acceda a tu cuenta y obtener información de tu
perfil.
11. ¿Es seguro?
Autenticarse en una aplicación utilizando OAuth es mas
seguro que el uso de usuario y password tradicional.
¿Por Qué?
12. Utilizando modo Tradicional
En un Modo Tradicional al ingresar usuario y password, se
verifica en la base de datos el usuario, si la aplicación sufre
un ataque de intercepción se pueden comprometer las
credenciales de acceso del usuario, por lo tanto usar el modo
tradicional es poco seguro, en cambio, veamos como
funciona OAUTH en la siguiente diapositiva.
14. Ventajas
- Si la aplicación es Hackeada, los usuarios y contraseñas de
los usuarios quedan a salvo en otro servidor de autorización,
por ejemplo Twitter.
- Cada par de tokens es único. Cada sitio web o aplicación
tiene un par distinto para cada usuario, así que, aunque
alguien consiguiese todos los pares de todos los usuarios, no
le servirían de nada porque sólo sirven para acceder a
Twitter/Facebook por ejemplo, desde un único sitio.
15. Desventaja
La gran desventaja de esta innovación es que algunas
aplicaciones a las que se acceden usando Facebook o Twitter
postean en tu perfil.
16. Recomendación
Para evitar problemas de posteo por parte de las
aplicaciones, asegúrate de leer la política de privacidad de
cada aplicación a la que te conectas, y si puedes, presta
atención a los permisos que cada aplicación obtiene. Si
detectas algo que no quieres que la aplicación haga,
simplemente no la uses o busca en sus configuraciones si se
puede desactivar.
17. Mas Información sobre OAUTH
OAuth, Wikipedia: http://en.wikipedia.org/wiki/OAuth
An open protocol to allow secure authorization in a simple and standard
method from web, mobile and desktop applications: http://oauth.net/
Seguridad en Oauth 2.0, INTECO:
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_coment
arios/Seguridad_OAuth_2_0
What is OAuth?, Twitter Developers:
https://dev.twitter.com/docs/auth/oauth/faq
Facebook Login, Facebook Developers:
https://developers.facebook.com/docs/facebook-login/v2.0
VideoTutorial Login con Twiteer OAuth y PHP:
https://www.youtube.com/watch?v=LTDxLFeXx-M
¡MUCHAS GRACIAS POR SU ATENCION!