miun.sePublications
Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Undersökning av webbsidors säkerhet vid användning avFacebook Login: Vidareutveckling och analys av OAuthGuard
Mid Sweden University, Faculty of Science, Technology and Media, Department of Computer and System Science.
2019 (Swedish)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE creditsStudent thesis
Abstract [sv]

Single Sign-On (SSO) är en autentiseringsprocess som tillåter

en utvecklare att delegera autentiseringsansvaret till en

dedikerad tjänst. OAuth 2.0 är ett auktoriseringsramverk

som ofta står som grund för ett autentiseringslager som i sin

tur möjliggör SSO. En identitetsleverantör är tjänsten som

står för hantering av användaruppgifterna och

autentiseringen, två vanliga identitetsleverantörer är Google

och Facebook som i sin tur implementerar SSO med hjälp

utav autentiseringslagren OpenID Connect respektive

Facebooks egna autentiseringslager. Det har visat sig att

många klienter som ska utnyttja SSO med OAuth 2.0

implementerar det fel så att säkerhetsbrister uppstår, studier

har utförts med förslag till lösningar men många bristande

implementationer fortsätter produceras och existera. Att

skapa diverse verktyg för att främja säkerhet i dessa

sammanhang är en metod där OAuthGuard utvecklats med

visionen att även kunna skydda användaren, direkt från en

webbläsare. OAuthGuard har även tidigare använts för att

analysera säkerheten med Google SSO och visat att 50% av

undersökta klienter har brister, men motsvarande studie eller

verktyg saknas för Facebook SSO. Denna studie gjorde en

motsvarande undersökning för Facebook SSO-klienter med

en vidareutvecklad version av OAuthGuard och fann att de

lider av brister med liknande trend som tidigare studies

resultat mot Google-SSO-klienter, men att färre Facebook-

SSO-klienter har brister i jämförelse. Vid vidareutvecklingen

av OAuthGuard upptäcktes ett antal svårigheter och

framtiden för denna typ av verktyg behöver vidare

analyseras. Vidare analys behöver även göras för att bedöma

om Facebook-SSO kan vara att föredra över Google-SSO ur

säkerhetsperspektiv samt vidare utforskande av nya

säkerhetsfrämjande metoder behöver utföras.

Abstract [en]

Single Sign-On (SSO) is an authentication process that allows

a developer to delegate the authentication responsibility to a

dedicated service. OAuth 2.0 is an authorization framework

that often serves as a base for authentication layers to be built

upon that in turn allows for SSO. An identity provider is the

service that is responsible for handling user credentials and

the authentication, two common identity providers are

Google and Facebook that implement SSO with the

authentication layers OpenID Connect respectively

Facebooks own authentication layer. It has been shown that

many clients using OAuth 2.0 as base for SSO make faulty

implementations leading to security issues, a number of

studies has proposed solutions to these issues but faulty

implementations are continually being made. To create

various tools to promote security in these contexts is a

method where OAuthGuard has been developed with the

vision to also directly protect the common website user

directly from the browser. OAuthGuard has been used in an

earlier study to analyze the security of clients using Google

SSO and discovered that 50% of the analyzed clients had

flaws, no comparable study has been done for clients using

Facebook SSO, which is the second largest third party log in

variant. This study made a comparable investigation for

Facebook SSO clients with a further developed version of

OAuthGuard and found that these clients suffer from flaws

with a similar trend as the previous study with Google-SSO

clients, although fewer Facebook-SSO clients suffer from

these flaws. When further developing OAuthGuard a

dumber of difficulties was discovered and the future of these

kind of tools needs to be investigated. Further analysis needs

to be done to assess if Facebook-SSO should be

recommended over Google-SSO from a security perspective

and also further exploration of new methods to promote

security needs to be done.

Place, publisher, year, edition, pages
2019. , p. 67
Keywords [en]
Web browser extensions, OpenID Connect, OIDC, OAuth2.0, Single Sign-On, SSO, Security, Facebook, Social login.
Keywords [sv]
Webbläsartillägg, OpenID Connect, OIDC, OAuth 2.0, Single, Sign-On, SSO, Säkerhet, Facebook, Social login.
National Category
Software Engineering
Identifiers
URN: urn:nbn:se:miun:diva-36859OAI: oai:DiVA.org:miun-36859DiVA, id: diva2:1343085
Subject / course
Computer Engineering DT1
Educational program
Software Engineering TPVAG 120/180 higher education credits
Supervisors
Examiners
Available from: 2019-08-15 Created: 2019-08-15

Open Access in DiVA

fulltext(637 kB)15 downloads
File information
File name FULLTEXT01.pdfFile size 637 kBChecksum SHA-512
1b4860c102c6556442b610c7c7cbb28f57f6059a391700643741c64c4a4acd7e723ec75871d830961f0bc935a7f0ee10e8343cf6861af05af697baf398864966
Type fulltextMimetype application/pdf

By organisation
Department of Computer and System Science
Software Engineering

Search outside of DiVA

GoogleGoogle Scholar
Total: 15 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 89 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf