miun.sePublikationer
Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
Undersökning av webbsidors säkerhet vid användning avFacebook Login: Vidareutveckling och analys av OAuthGuard
Mittuniversitetet, Fakulteten för naturvetenskap, teknik och medier, Institutionen för data- och systemvetenskap.
2019 (Svenska)Självständigt arbete på grundnivå (kandidatexamen), 10 poäng / 15 hpStudentuppsats (Examensarbete)
Abstract [sv]

Single Sign-On (SSO) är en autentiseringsprocess som tillåter

en utvecklare att delegera autentiseringsansvaret till en

dedikerad tjänst. OAuth 2.0 är ett auktoriseringsramverk

som ofta står som grund för ett autentiseringslager som i sin

tur möjliggör SSO. En identitetsleverantör är tjänsten som

står för hantering av användaruppgifterna och

autentiseringen, två vanliga identitetsleverantörer är Google

och Facebook som i sin tur implementerar SSO med hjälp

utav autentiseringslagren OpenID Connect respektive

Facebooks egna autentiseringslager. Det har visat sig att

många klienter som ska utnyttja SSO med OAuth 2.0

implementerar det fel så att säkerhetsbrister uppstår, studier

har utförts med förslag till lösningar men många bristande

implementationer fortsätter produceras och existera. Att

skapa diverse verktyg för att främja säkerhet i dessa

sammanhang är en metod där OAuthGuard utvecklats med

visionen att även kunna skydda användaren, direkt från en

webbläsare. OAuthGuard har även tidigare använts för att

analysera säkerheten med Google SSO och visat att 50% av

undersökta klienter har brister, men motsvarande studie eller

verktyg saknas för Facebook SSO. Denna studie gjorde en

motsvarande undersökning för Facebook SSO-klienter med

en vidareutvecklad version av OAuthGuard och fann att de

lider av brister med liknande trend som tidigare studies

resultat mot Google-SSO-klienter, men att färre Facebook-

SSO-klienter har brister i jämförelse. Vid vidareutvecklingen

av OAuthGuard upptäcktes ett antal svårigheter och

framtiden för denna typ av verktyg behöver vidare

analyseras. Vidare analys behöver även göras för att bedöma

om Facebook-SSO kan vara att föredra över Google-SSO ur

säkerhetsperspektiv samt vidare utforskande av nya

säkerhetsfrämjande metoder behöver utföras.

Abstract [en]

Single Sign-On (SSO) is an authentication process that allows

a developer to delegate the authentication responsibility to a

dedicated service. OAuth 2.0 is an authorization framework

that often serves as a base for authentication layers to be built

upon that in turn allows for SSO. An identity provider is the

service that is responsible for handling user credentials and

the authentication, two common identity providers are

Google and Facebook that implement SSO with the

authentication layers OpenID Connect respectively

Facebooks own authentication layer. It has been shown that

many clients using OAuth 2.0 as base for SSO make faulty

implementations leading to security issues, a number of

studies has proposed solutions to these issues but faulty

implementations are continually being made. To create

various tools to promote security in these contexts is a

method where OAuthGuard has been developed with the

vision to also directly protect the common website user

directly from the browser. OAuthGuard has been used in an

earlier study to analyze the security of clients using Google

SSO and discovered that 50% of the analyzed clients had

flaws, no comparable study has been done for clients using

Facebook SSO, which is the second largest third party log in

variant. This study made a comparable investigation for

Facebook SSO clients with a further developed version of

OAuthGuard and found that these clients suffer from flaws

with a similar trend as the previous study with Google-SSO

clients, although fewer Facebook-SSO clients suffer from

these flaws. When further developing OAuthGuard a

dumber of difficulties was discovered and the future of these

kind of tools needs to be investigated. Further analysis needs

to be done to assess if Facebook-SSO should be

recommended over Google-SSO from a security perspective

and also further exploration of new methods to promote

security needs to be done.

Ort, förlag, år, upplaga, sidor
2019. , s. 67
Nyckelord [en]
Web browser extensions, OpenID Connect, OIDC, OAuth2.0, Single Sign-On, SSO, Security, Facebook, Social login.
Nyckelord [sv]
Webbläsartillägg, OpenID Connect, OIDC, OAuth 2.0, Single, Sign-On, SSO, Säkerhet, Facebook, Social login.
Nationell ämneskategori
Programvaruteknik
Identifikatorer
URN: urn:nbn:se:miun:diva-36859OAI: oai:DiVA.org:miun-36859DiVA, id: diva2:1343085
Ämne / kurs
Datateknik DT1
Utbildningsprogram
Programvaruteknik TPVAG 120/180 hp
Handledare
Examinatorer
Tillgänglig från: 2019-08-15 Skapad: 2019-08-15

Open Access i DiVA

fulltext(637 kB)20 nedladdningar
Filinformation
Filnamn FULLTEXT01.pdfFilstorlek 637 kBChecksumma SHA-512
1b4860c102c6556442b610c7c7cbb28f57f6059a391700643741c64c4a4acd7e723ec75871d830961f0bc935a7f0ee10e8343cf6861af05af697baf398864966
Typ fulltextMimetyp application/pdf

Av organisationen
Institutionen för data- och systemvetenskap
Programvaruteknik

Sök vidare utanför DiVA

GoogleGoogle Scholar
Totalt: 20 nedladdningar
Antalet nedladdningar är summan av nedladdningar för alla fulltexter. Det kan inkludera t.ex tidigare versioner som nu inte längre är tillgängliga.

urn-nbn

Altmetricpoäng

urn-nbn
Totalt: 170 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf