Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Problemy z JSON Web Tokens ... i garść rozwiązań

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Marcin Hoppe Marcin Hoppe
October 14, 2018
Technology
0
66

Problemy z JSON Web Tokens ... i garść rozwiązań

Avatar for Marcin Hoppe

Marcin Hoppe

October 14, 2018
Tweet

More Decks by Marcin Hoppe

See All by Marcin Hoppe
Przepraszam, czy można?
Avatar for Marcin Hoppe marcinhoppe
0
31
Hacking OAuth 2.0
Avatar for Marcin Hoppe marcinhoppe
0
54
JSON Web Tokens. Problemy i rozwiązania
Avatar for Marcin Hoppe marcinhoppe
0
130

Other Decks in Technology

See All in Technology
モジュラモノリス導入から4年間の総括:アーキテクチャと組織の相互作用について / Architecture and Organizational Interaction
Avatar for Satoshi Kawashima nazonohito51
3
1.5k
今日から始められるテスト自動化 〜 基礎知識から生成AI活用まで 〜
Avatar for MagicPod magicpod
1
120
テストプロセスにおけるAI活用 :人間とAIの共存
Avatar for hacomono Inc. hacomono
PRO
0
140
"作る"から"使われる"へ:Backstage 活用の現在地
Avatar for SoftBank Tech Night sbtechnight
0
240
Phase03_ドキュメント管理
Avatar for overflow ,Inc overflowinc
0
2.1k
Kiroで見直す開発プロセスとAI-DLC
Avatar for Kazuki Adachi k_adachi_01
0
120
2026年もソフトウェアサプライチェーンのリスクに立ち向かうために / Product Security Square #3
Avatar for GMO Flatt Security flatt_security
1
750
Copilot 宇宙へ 〜生成AIで「専門データの壁」を壊す方法〜
Avatar for なかしょ nakasho
0
150
中央集権型を脱却した話 分散型をやめて、連邦型にたどり着くまで
Avatar for SansanTech sansantech
PRO
1
200
Astro Islandsの 内部実装を 「日本で一番わかりやすく」 ざっくり解説!
Avatar for Wu Kenji knj
0
220
Visional 28新卒プロダクト職(エンジニア/デザイナー)向け 会社説明資料 / Visional Company Briefing for Newgrads 28
Avatar for Visional Engineering & Design visional_engineering_and_design
1
130
ソフトバンク流!プラットフォームエンジニアリング実現へのアプローチ
Avatar for SoftBank Tech Night sbtechnight
1
250

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.4k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.5k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
260
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
160
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
Navigating Team Friction
Avatar for Lara Hogan lara
192
16k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
52k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.2k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
120

Transcript

  1. Problemy z JSON Web Tokens … i garść rozwiązań @marcin_hoppe

  2. wym. dżot @marcin_hoppe RFC 7519

  3. JSON Web Tokens @marcin_hoppe

  4. JSON Object Signing and Encryption JSON Web Signature JSON Web

    Encryption JSON Web Keys JSON Web Algorithms JSON Web Tokens @marcin_hoppe

  5. @marcin_hoppe Bezpieczne ciasteczka cookie

  6. @marcin_hoppe OpenID Connect IdP API id_token access_token

  7. @marcin_hoppe FORMAT eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ zdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4 gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJ SMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  8. @marcin_hoppe FORMAT {"alg": "HS256", "typ": "JWT" } {"sub": "1234567890", "iss":

    "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis (HMAC)

  9. https://jwt.io @marcin_hoppe NARZĘDZIE

  10. @marcin_hoppe CRYPTO

  11. @marcin_hoppe SZYFROWANIE

  12. @marcin_hoppe Dystrybucja kluczy

  13. @marcin_hoppe Dystrybucja kluczy IdP API id_token access_token

  14. Jak sfałszować token? @marcin_hoppe

  15. „alg”: „none” @marcin_hoppe PROBLEM 1

  16. @marcin_hoppe PROBLEM 1 eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ zdWIiOiJtaTZ8MDA3IiwibmFtZSI6IkphbWVzIEJ vbmQiLCJsaWNlbnNlX3RvX2tpbGwiOnRydWV9.0w wpvqdLFxhio2zCXObMXDFX1NRZNT3A7_n0uRKdCJ Yw404KYpO4bvIX2IKag8aJZ25690xo54ekcqlvKK PnFoLqjjtZJdo43npESp9XaLDoEHXU8nZlDLEg2W pHSZQXe4tLEy677eIULzze2OJhGSsKYPpKdjcS4c

    Zc1fWvqA8

  17. @marcin_hoppe PROBLEM 1 eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJz dWIiOiJtaTZ8MDA3IiwibmFtZSI6IkphbWVzIEJv bmQiLCJsaWNlbnNlX3RvX2tpbGwiOnRydWV9.

  18. @marcin_hoppe PROBLEM 1 eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJz dWIiOiJzcGVjdHJlfDAwMSIsIm5hbWUiOiJFcm5z dCBTdGF2cm8gQmxvZmVsZCJ9.

  19. RS256 ⇒ HS256 @marcin_hoppe PROBLEM 2

  20. @marcin_hoppe PROBLEM 2 {"alg": ”RS256", "typ": "JWT" } {"sub": "1234567890",

    "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis RSA (klucz publiczny)

  21. @marcin_hoppe PROBLEM 2 {"alg": ”HS256", "typ": "JWT" } {"sub": "1234567890",

    "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis HMAC (klucz publiczny)

  22. @marcin_hoppe PROBLEM 2 {"alg": ”HS256", "typ": "JWT" } {"sub": ”0000000001",

    "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis HMAC (klucz publiczny)

  23. Słabe klucze HMAC @marcin_hoppe PROBLEM 3

  24. Klucze HMAC H4sł4 to nie klucze hashcat i słowniki Ten

    sam klucz dla wszystkich Brak KDFów @marcin_hoppe PROBLEM 3

  25. @marcin_hoppe Podmiana tokenów IdP #1 API #1 PROBLEM 4

  26. @marcin_hoppe Podmiana tokenów IdP #1 API #2 PROBLEM 4

  27. @marcin_hoppe PROBLEM 4 {"alg": ”RS256", "typ": "JWT" } {"sub": "1234567890",

    "exp": 1516239022 } + podpis RSA (klucz publiczny)

  28. @marcin_hoppe PROBLEM 4 {"alg": ”RS256", "typ": "JWT" } {"sub": "1234567890",

    "iss": "https://idp1.com", "aud": "https://api1.com", "exp": 1516239022 } + podpis RSA (klucz publiczny)

  29. Co robić? „alg”: „none” Wymuszać algorytm i klucz Ostrożnie z

    HMAC Weryfikować claimy @marcin_hoppe

  30. A może są inne formaty? @marcin_hoppe

  31. Tokenowy zawrót głowy @marcin_hoppe

  32. Platofrm Agnostic SEcurity TOkens Ciastka i tokeny Local: poufność i

    integralność z kluczem symetrycznym Public: integralność z kluczem publicznym @marcin_hoppe

  33. @marcin_hoppe CRYPTO

  34. @marcin_hoppe FORMAT v2.local.97TTOvgwIxNGvV80XKiGZg_kD3tsXM_ -qB4dZGHOeN1cTkgQ4PnW8888l802W8d9AvEGnoN BY3BnqHORy8a5cC8aKpbA0En8XELw2yDk2f1sVOD yfnDbi6rEGMY3pSfCbLWMM2oHJxvlEl2XbQ

  35. @marcin_hoppe FORMAT {"alg” : ”XChaCha20-Poly1305", ”nonce": 0000...0} {”data": ”this is

    a signed message", ”exp” : "2019-01-01T00:00:00+00:00”} Stopka (AEAD): (pusty)

  36. PASETO vs JWT Problem #1 Problem #2 Problem #3 Problem

    #4 @marcin_hoppe

  37. Wnioski wym. dżot Zastosowanie kryptografii jest trudne Są alternatywy @marcin_hoppe

  38. Marcin Hoppe Engineering Manager Product Security Auth0 Security Working Group

    Node.js Foundation marcin.hoppe @ acm.org twitter.com/Marcin_Hoppe

  39. Ask me anything! @marcin_hoppe