在mobile app上較OAuth/OIDC安全的authentication protocol design

前言 在上篇 OAuth/OIDC在mobile app生態上是防不勝防的security漏洞 提及到,OAuth/OIDC那種做法的flow是近乎不可能保障mobile app usage的生態安全。 其實關鍵問題在於,整個authentication過程中,是需要使用login username/password,從而無可避免被惡意agent capture credential。 Redesign? 那要根本地解決,就可能需要重新設計一個針對mobile app的authentication flow,而當中避免在login過程中需要到login credentail。其中一個可行做法,就是web-pre-authentication。 Web-pre-authentication + mobile app device one time registration 我所謂的web-pre-authentication的意思是,把authentication先在web application上安全地做好。 繼而在mobile app install的時候,就只需要做一次one time device […]

OAuth/OIDC在mobile app生態上是防不勝防的security漏洞

前言 我平時都有留意開做Single Sign On既方法,而之前有看過OAuth2同OpenID Connect(OIDC),我亦都寫過幾個post去討論。 web application上應用OAuth2/OIDC是基本上沒太大安全問題的,但在mobile app上的應用其實就可能對生態構成security漏洞。   昨天突然想通了一些東西。 mobie app與web application的分別其實在於agent。 mobie app與web application分別在於agent web application的use case,agent就是browser(e.g: firefox/chrome)。 而mobile app的use case,agent就是mobile app本身,相對地是不可靠的。   打個比喻,如果是web application的use case,而現在你使用一個極可疑的malicious browser去進行OAuth/OIDC flow。 […]

對mobile app開發的想法:Mobile App as Web App in App Container

坊間有一些 HTML5+JS 的 hybrid app framework,例如 nativescript[1]﹑PhoneGap[2]。 市面流行這些 thirdparty library 說明了他們的存在價值——不同 mobile os+web app 的三重開發環境,增加了很多開發成本(X3)和知識碎片問題。 我對 mobile app 開發有個想法,就是 mobile app 開發不應再以 native code 為重心,而應轉移成 web app 開發模式。我認為 Google/Apple 可以在 […]