Kategorie: Websecurity

Warum Begriffe bei OAuth entscheidend sind OAuth ist berüchtigt dafür, kompliziert und unübersichtlich zu wirken. Viele Artikel werfen mit Begriffen wie Access Token, Authorization Code oder Client um sich, ohne sie klar abzugrenzen. Genau das führt dazu, dass Entwickler Fehler machen oder Sicherheitsprüfer nicht wissen, wo sie ansetzen sollen. In diesem Teil nehmen wir die…

Warum es verschiedene Grant Types gibt OAuth soll in vielen Szenarien funktionieren: Darum gibt es verschiedene Grant Types (Autorisierungsarten). Jeder Typ ist für einen bestimmten Anwendungsfall gedacht – aber nicht jeder ist gleich sicher. Viele Schwachstellen in realen Anwendungen entstehen dadurch, dass ein ungeeigneter Flow verwendet wird. 1. Authorization Code Flow (Standard) Ablauf in Kurzform…

Warum ein genauer Blick wichtig ist In den ersten Teilen haben wir über die Grundlagen gesprochen und die verschiedenen Grant Types verglichen. Doch so richtig klar wird OAuth erst, wenn man einmal den kompletten Ablauf Schritt für Schritt durchgeht. Wir konzentrieren uns hier auf den Authorization Code Flow mit PKCE, weil er heute der Standard…

Warum dieser Schritt wichtig ist Bevor man Sicherheitsprobleme ausnutzen oder beheben kann, muss man überhaupt wissen, wo OAuth im Einsatz ist. Oft ist OAuth nicht auf den ersten Blick sichtbar: In diesem Teil schauen wir uns an, wie man OAuth-Dienste in einer App oder Website identifizieren kann. Erste Hinweise im Frontend Login-Buttons Das Offensichtlichste: Buttons…

Warum Token-Diebstahl so gefährlich ist Tokens sind das Herzstück von OAuth. Sie sind kleine digitale Schlüssel, die genau festlegen, welche Daten eine App lesen oder verändern darf. Ein gestohlenes Access Token bedeutet, dass ein Angreifer im Namen des Nutzers handeln kann – oft ohne dass der Nutzer oder der Dienst etwas merkt. Besonders kritisch: Darum…

Warum CSRF bei OAuth ein Problem ist CSRF (Cross-Site Request Forgery) ist ein alter Bekannter in der Websicherheit. Normalerweise bedeutet es: Ein Angreifer bringt einen Benutzer dazu, unbeabsichtigt eine Aktion in einer Webanwendung auszuführen – etwa eine Überweisung oder das Ändern eines Passworts. In OAuth ist CSRF besonders gefährlich, weil es hier nicht nur um…

Warum der Implicit Flow existierte Als OAuth 2.0 entworfen wurde (2012), standen Web-Apps vor einem Problem: Lösung: Implicit Grant Flow Das war praktisch – aber auch extrem unsicher. Ablauf des Implicit Flow Die großen Probleme 1. Tokens in der URL 👉 Das Access Token kann versehentlich weitergegeben werden. 2. Kein Refresh Token 3. Zugriff durch…

Warum wir über den Tellerrand schauen müssen In den letzten Teilen haben wir uns große Themen wie Token-Diebstahl, CSRF und den unsicheren Implicit Flow angesehen. Aber die Welt von OAuth ist noch breiter: Es gibt eine ganze Reihe weiterer Schwachstellen, die in der Praxis auftauchen. Gleichzeitig arbeitet die Community an Verbesserungen – und das Ergebnis…