SlideShare una empresa de Scribd logo

Autenticación OAuth

Descargar como PPTX, PDF
Kevyn Aguilar
Kevyn Aguilar
1 de 17
Universidad Mariano Gálvez Maestría en Informática Kevyn Alexander Aguilar Ramírez 2392-07-14893 Julio Rabí Girón Carrera 2392-07-14994 Seguridad en Redes Dr. Orestes Febles
OAUTH
OAUTH (Open Authorization) - Es un estándar abierto para la autorización. - OAuth permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
OAUTH (Open Authorization) Una API (Interfaz de programación de aplicaciones) es el conjunto de funciones y procedimientos (o métodos, en la programación orientada a objetos) que ofrece cierta biblioteca para ser utilizado por otro software como una capa de abstracción.
OAUTH (Open Authorization) - Propuesto por Blaine Cook y Chris Messina, borrador definitivo el 3 Octubre de 2007. - El Protocolo OAuth 1.0 fue publicado como RFC 5849, en abril de 2010. - OAuth 2.0 fue publicado como RFC 6749, y el uso Portador Token como RFC 6750, en octubre de 2012. RFC adicionales todavía se está trabajando.
OAUTH (Open Authorization) Diseñado específicamente para trabajar con el Protocolo de transferencia de hipertexto (HTTP). OAuth utiliza tokens de acceso que se emitirán a clientes de terceros por un servidor de autorización, con la aprobación del propietario del recurso, o el usuario final. El cliente utiliza entonces el token de acceso para acceder a los recursos protegidos alojados en el servidor de recursos.
OAUTH (Open Authorization) OAuth es comúnmente usado por los usuarios de Internet para iniciar sesión en sitios web de terceros usando sus cuentas de Google, Facebook o Twitter, sin tener que preocuparse que sus credenciales de acceso sean comprometidos.
Como Funciona (Ejemplo loguearse en SlideShare con Facebook) 1. Para convertirse en una aplicación de Facebook, SlideShare adquirió dos tokens del servicio de Facebook: una “Consumer Key” (Clave de Consumidor) y una “Consumer Secret” (Secreto de Consumidor). Estos son los elementos que crean una conexión entre el consumidor (en este caso, SlideShare) y el proveedor del servicio (en este caso, Facebook).
Como Funciona (Ejemplo loguearse en SlideShare con Facebook) 2. Cuando quieres acceder a SlideShare a traves de Facebook, SlideShare te redirecciona a la portada de Facebook. Si no estás loggeado, te loggeas en ese momento (recuerda que le estás dando tu usuario y contraseña a Facebook, no a SlideShare).
Como Funciona (Ejemplo loguearse en SlideShare con Facebook) 3. Cuando presionas el botón “Entrar”, se crea un “Access Token” (Vale para acceso) y un “Access Token Secret” (Vale para acceso secreto). Son como contraseñas, permiten que SlideShare acceda a tu cuenta y obtener información de tu perfil.
¿Es seguro? Autenticarse en una aplicación utilizando OAuth es mas seguro que el uso de usuario y password tradicional. ¿Por Qué?
Utilizando modo Tradicional En un Modo Tradicional al ingresar usuario y password, se verifica en la base de datos el usuario, si la aplicación sufre un ataque de intercepción se pueden comprometer las credenciales de acceso del usuario, por lo tanto usar el modo tradicional es poco seguro, en cambio, veamos como funciona OAUTH en la siguiente diapositiva.
Utilizando OAUTH
Ventajas - Si la aplicación es Hackeada, los usuarios y contraseñas de los usuarios quedan a salvo en otro servidor de autorización, por ejemplo Twitter. - Cada par de tokens es único. Cada sitio web o aplicación tiene un par distinto para cada usuario, así que, aunque alguien consiguiese todos los pares de todos los usuarios, no le servirían de nada porque sólo sirven para acceder a Twitter/Facebook por ejemplo, desde un único sitio.
Desventaja La gran desventaja de esta innovación es que algunas aplicaciones a las que se acceden usando Facebook o Twitter postean en tu perfil.
Recomendación Para evitar problemas de posteo por parte de las aplicaciones, asegúrate de leer la política de privacidad de cada aplicación a la que te conectas, y si puedes, presta atención a los permisos que cada aplicación obtiene. Si detectas algo que no quieres que la aplicación haga, simplemente no la uses o busca en sus configuraciones si se puede desactivar.
Mas Información sobre OAUTH OAuth, Wikipedia: http://en.wikipedia.org/wiki/OAuth An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications: http://oauth.net/ Seguridad en Oauth 2.0, INTECO: http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_coment arios/Seguridad_OAuth_2_0 What is OAuth?, Twitter Developers: https://dev.twitter.com/docs/auth/oauth/faq Facebook Login, Facebook Developers: https://developers.facebook.com/docs/facebook-login/v2.0 VideoTutorial Login con Twiteer OAuth y PHP: https://www.youtube.com/watch?v=LTDxLFeXx-M ¡MUCHAS GRACIAS POR SU ATENCION!

Recomendados

Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Miguel Ángel Sánchez Chordi
 
OAuth and OpenID
OAuth and OpenIDOAuth and OpenID
OAuth and OpenIDAlbert Lozano Ciller
 
REST - deSymfony2012
REST - deSymfony2012REST - deSymfony2012
REST - deSymfony2012Asier Marqués
 
Open ID
Open IDOpen ID
Open IDMauricio España
 
30.gam introduction sp
30.gam introduction sp30.gam introduction sp
30.gam introduction spBrayan Martinez
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malwareDavid Thomas
 
Entendiendo o auth
Entendiendo o authEntendiendo o auth
Entendiendo o authEduard Tomàs
 
Presentacion-Oauth
Presentacion-OauthPresentacion-Oauth
Presentacion-OauthKevin Medina
 

Recomendados

Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Qué es eso de OAuth y como se implementa en Symfony2 (y otros)
Qué es eso de OAuth y como se implementa en Symfony2 (y otros)Miguel Ángel Sánchez Chordi
 
OAuth and OpenID
OAuth and OpenIDOAuth and OpenID
OAuth and OpenIDAlbert Lozano Ciller
 
REST - deSymfony2012
REST - deSymfony2012REST - deSymfony2012
REST - deSymfony2012Asier Marqués
 
Open ID
Open IDOpen ID
Open IDMauricio España
 
30.gam introduction sp
30.gam introduction sp30.gam introduction sp
30.gam introduction spBrayan Martinez
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malwareDavid Thomas
 
Entendiendo o auth
Entendiendo o authEntendiendo o auth
Entendiendo o authEduard Tomàs
 
Presentacion-Oauth
Presentacion-OauthPresentacion-Oauth
Presentacion-OauthKevin Medina
 
Privacidad en Internet
Privacidad en InternetPrivacidad en Internet
Privacidad en InternetJose Manuel Ortega Candel
 
Slideshare
SlideshareSlideshare
Slidesharelabiblioteca
 
Slideshare
SlideshareSlideshare
SlideshareMilene Isabel
 
Slideshare
SlideshareSlideshare
SlideshareMilene Isabel
 
Guia para subir presentaciones
Guia para subir presentacionesGuia para subir presentaciones
Guia para subir presentacionessoledadherediag
 
Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2cursovirtualices
 
Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2cursovirtualices
 
Uso de limesurvey
Uso de limesurveyUso de limesurvey
Uso de limesurveyads116
 
Fortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchFortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchJorge Cacho
 
Compartiendo recursosaplicaciones informaticas
Compartiendo recursosaplicaciones informaticasCompartiendo recursosaplicaciones informaticas
Compartiendo recursosaplicaciones informaticaskarla-torres
 
compartir recursos
compartir recursoscompartir recursos
compartir recursosMaria Juarez
 
Taller 23 analisis_metadatos_galarraga
Taller 23 analisis_metadatos_galarragaTaller 23 analisis_metadatos_galarraga
Taller 23 analisis_metadatos_galarragaFabricio Galárraga
 
Software libre web 2.0 - web 3.0
Software libre web 2.0 - web 3.0Software libre web 2.0 - web 3.0
Software libre web 2.0 - web 3.0Sarah Maria Luna
 
Trabajo slideshare
Trabajo slideshareTrabajo slideshare
Trabajo slideshareRaul Sulca
 
SimpleSAMLphp
SimpleSAMLphpSimpleSAMLphp
SimpleSAMLphpJaime Pérez Crespo
 
Joomla
JoomlaJoomla
Joomlarlramirez
 
Que es youtube (magus y gaby)
Que es youtube (magus y gaby)Que es youtube (magus y gaby)
Que es youtube (magus y gaby)mpoakiza
 
Que es youtube
Que es youtubeQue es youtube
Que es youtubempoakiza
 
Slideshare
SlideshareSlideshare
SlideshareUniversidad Mayor
 
Del.icio.us
Del.icio.usDel.icio.us
Del.icio.usPrincessLexy
 

Más contenido relacionado

Similar a Autenticación OAuth

Guia para subir presentaciones
Guia para subir presentacionesGuia para subir presentaciones
Guia para subir presentacionessoledadherediag
 
Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2cursovirtualices
 
Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2cursovirtualices
 
Uso de limesurvey
Uso de limesurveyUso de limesurvey
Uso de limesurveyads116
 
Fortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchFortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchJorge Cacho
 
Compartiendo recursosaplicaciones informaticas
Compartiendo recursosaplicaciones informaticasCompartiendo recursosaplicaciones informaticas
Compartiendo recursosaplicaciones informaticaskarla-torres
 
compartir recursos
compartir recursoscompartir recursos
compartir recursosMaria Juarez
 
Taller 23 analisis_metadatos_galarraga
Taller 23 analisis_metadatos_galarragaTaller 23 analisis_metadatos_galarraga
Taller 23 analisis_metadatos_galarragaFabricio Galárraga
 
Software libre web 2.0 - web 3.0
Software libre web 2.0 - web 3.0Software libre web 2.0 - web 3.0
Software libre web 2.0 - web 3.0Sarah Maria Luna
 
Trabajo slideshare
Trabajo slideshareTrabajo slideshare
Trabajo slideshareRaul Sulca
 
Que es youtube (magus y gaby)
Que es youtube (magus y gaby)Que es youtube (magus y gaby)
Que es youtube (magus y gaby)mpoakiza
 
Que es youtube
Que es youtubeQue es youtube
Que es youtubempoakiza
 

Similar a Autenticación OAuth (20)

Privacidad en Internet
Privacidad en InternetPrivacidad en Internet
Privacidad en Internet
 
Slideshare
SlideshareSlideshare
Slideshare
 
Slideshare
SlideshareSlideshare
Slideshare
 
Slideshare
SlideshareSlideshare
Slideshare
 
Guia para subir presentaciones
Guia para subir presentacionesGuia para subir presentaciones
Guia para subir presentaciones
 
Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2
 
Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2Braun,diaz neto y pacheco 2
Braun,diaz neto y pacheco 2
 
Uso de limesurvey
Uso de limesurveyUso de limesurvey
Uso de limesurvey
 
Fortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchFortifica tu Wordpress con Latch
Fortifica tu Wordpress con Latch
 
Compartiendo recursosaplicaciones informaticas
Compartiendo recursosaplicaciones informaticasCompartiendo recursosaplicaciones informaticas
Compartiendo recursosaplicaciones informaticas
 
compartir recursos
compartir recursoscompartir recursos
compartir recursos
 
Taller 23 analisis_metadatos_galarraga
Taller 23 analisis_metadatos_galarragaTaller 23 analisis_metadatos_galarraga
Taller 23 analisis_metadatos_galarraga
 
Software libre web 2.0 - web 3.0
Software libre web 2.0 - web 3.0Software libre web 2.0 - web 3.0
Software libre web 2.0 - web 3.0
 
Trabajo slideshare
Trabajo slideshareTrabajo slideshare
Trabajo slideshare
 
SimpleSAMLphp
SimpleSAMLphpSimpleSAMLphp
SimpleSAMLphp
 
Joomla
JoomlaJoomla
Joomla
 
Que es youtube (magus y gaby)
Que es youtube (magus y gaby)Que es youtube (magus y gaby)
Que es youtube (magus y gaby)
 
Que es youtube
Que es youtubeQue es youtube
Que es youtube
 
Slideshare
SlideshareSlideshare
Slideshare
 
Del.icio.us
Del.icio.usDel.icio.us
Del.icio.us
 

Autenticación OAuth

  • 1. Universidad Mariano Gálvez Maestría en Informática Kevyn Alexander Aguilar Ramírez 2392-07-14893 Julio Rabí Girón Carrera 2392-07-14994 Seguridad en Redes Dr. Orestes Febles
  • 3. OAUTH (Open Authorization) - Es un estándar abierto para la autorización. - OAuth permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.
  • 4. OAUTH (Open Authorization) Una API (Interfaz de programación de aplicaciones) es el conjunto de funciones y procedimientos (o métodos, en la programación orientada a objetos) que ofrece cierta biblioteca para ser utilizado por otro software como una capa de abstracción.
  • 5. OAUTH (Open Authorization) - Propuesto por Blaine Cook y Chris Messina, borrador definitivo el 3 Octubre de 2007. - El Protocolo OAuth 1.0 fue publicado como RFC 5849, en abril de 2010. - OAuth 2.0 fue publicado como RFC 6749, y el uso Portador Token como RFC 6750, en octubre de 2012. RFC adicionales todavía se está trabajando.
  • 6. OAUTH (Open Authorization) Diseñado específicamente para trabajar con el Protocolo de transferencia de hipertexto (HTTP). OAuth utiliza tokens de acceso que se emitirán a clientes de terceros por un servidor de autorización, con la aprobación del propietario del recurso, o el usuario final. El cliente utiliza entonces el token de acceso para acceder a los recursos protegidos alojados en el servidor de recursos.
  • 7. OAUTH (Open Authorization) OAuth es comúnmente usado por los usuarios de Internet para iniciar sesión en sitios web de terceros usando sus cuentas de Google, Facebook o Twitter, sin tener que preocuparse que sus credenciales de acceso sean comprometidos.
  • 8. Como Funciona (Ejemplo loguearse en SlideShare con Facebook) 1. Para convertirse en una aplicación de Facebook, SlideShare adquirió dos tokens del servicio de Facebook: una “Consumer Key” (Clave de Consumidor) y una “Consumer Secret” (Secreto de Consumidor). Estos son los elementos que crean una conexión entre el consumidor (en este caso, SlideShare) y el proveedor del servicio (en este caso, Facebook).
  • 9. Como Funciona (Ejemplo loguearse en SlideShare con Facebook) 2. Cuando quieres acceder a SlideShare a traves de Facebook, SlideShare te redirecciona a la portada de Facebook. Si no estás loggeado, te loggeas en ese momento (recuerda que le estás dando tu usuario y contraseña a Facebook, no a SlideShare).
  • 10. Como Funciona (Ejemplo loguearse en SlideShare con Facebook) 3. Cuando presionas el botón “Entrar”, se crea un “Access Token” (Vale para acceso) y un “Access Token Secret” (Vale para acceso secreto). Son como contraseñas, permiten que SlideShare acceda a tu cuenta y obtener información de tu perfil.
  • 11. ¿Es seguro? Autenticarse en una aplicación utilizando OAuth es mas seguro que el uso de usuario y password tradicional. ¿Por Qué?
  • 12. Utilizando modo Tradicional En un Modo Tradicional al ingresar usuario y password, se verifica en la base de datos el usuario, si la aplicación sufre un ataque de intercepción se pueden comprometer las credenciales de acceso del usuario, por lo tanto usar el modo tradicional es poco seguro, en cambio, veamos como funciona OAUTH en la siguiente diapositiva.
  • 14. Ventajas - Si la aplicación es Hackeada, los usuarios y contraseñas de los usuarios quedan a salvo en otro servidor de autorización, por ejemplo Twitter. - Cada par de tokens es único. Cada sitio web o aplicación tiene un par distinto para cada usuario, así que, aunque alguien consiguiese todos los pares de todos los usuarios, no le servirían de nada porque sólo sirven para acceder a Twitter/Facebook por ejemplo, desde un único sitio.
  • 15. Desventaja La gran desventaja de esta innovación es que algunas aplicaciones a las que se acceden usando Facebook o Twitter postean en tu perfil.
  • 16. Recomendación Para evitar problemas de posteo por parte de las aplicaciones, asegúrate de leer la política de privacidad de cada aplicación a la que te conectas, y si puedes, presta atención a los permisos que cada aplicación obtiene. Si detectas algo que no quieres que la aplicación haga, simplemente no la uses o busca en sus configuraciones si se puede desactivar.
  • 17. Mas Información sobre OAUTH OAuth, Wikipedia: http://en.wikipedia.org/wiki/OAuth An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications: http://oauth.net/ Seguridad en Oauth 2.0, INTECO: http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_coment arios/Seguridad_OAuth_2_0 What is OAuth?, Twitter Developers: https://dev.twitter.com/docs/auth/oauth/faq Facebook Login, Facebook Developers: https://developers.facebook.com/docs/facebook-login/v2.0 VideoTutorial Login con Twiteer OAuth y PHP: https://www.youtube.com/watch?v=LTDxLFeXx-M ¡MUCHAS GRACIAS POR SU ATENCION!