Μονάδα:
Τμήμα Πληροφορικής & ΤηλεπικοινωνιώνΠληροφορική
Ημερομηνία κατάθεσης:
2023-02-16
Συγγραφέας:
ΦΛΩΚΟΣ ΣΤΕΦΑΝΟΣ
Στοιχεία επιβλεπόντων καθηγητών:
Δρ. Ιωάννης Χαμόδρακας, Εργαστηριακό Διδακτικό Προσωπικό (ΕΔΙΠ), Τμήμα Πληροφορικής και Τηλεπικοινωνιών, Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών
Πρωτότυπος Τίτλος:
JSON Web Token vulnerabilities and their Mitigation
Γλώσσες εργασίας:
Αγγλικά
Μεταφρασμένος τίτλος:
Ευπάθειες JSON Web Token και μέτρα περιορισμού τους
Περίληψη:
Στις σύγχρονες διαδικτυακές εφαρμογές και ειδικά στις μονοσέλιδες εφαρμογές, ο πιο συνηθισμένος τρόπος ελέγχου ταυτότητας ενός χρήστη είναι το πρότυπο JSON Web Token λόγω της ευκολίας χρήσης του σε συνδυασμό με την αυξημένη ασφάλεια που προσφέρει σε σχέση με άλλες πρακτικές ελέγχου ταυτότητας. Ωστόσο, η χρήση του δεν καθιστά την εφαρμογή αμέσως άτρωτη σε απειλές για την ασφάλεια της, καθώς υπάρχουν ορισμένα λεπτά σημεία που χωρίς σωστή κατανόηση και λανθασμένη υλοποίησή τους, οδηγούν σε σημαντικά κενά ασφαλείας. Παρόλο που υπάρχουν πολλά πλαίσια και πρότυπα που παρέχουν ένα πολύ ασφαλές περιβάλλον εξουσιοδότησης και ελέγχου ταυτότητας (όπως OAuth, OpenID Connect, SAML), υπάρχουν περιπτώσεις όπου οι προγραμματιστές και οι επιχειρήσεις θα ήθελαν να επιλέξουν μια προσαρμοσμένη υλοποίηση χαμηλού επιπέδου από το μηδέν. Αυτή η έρευνα στοχεύει στην ανάλυση ισχυρών και αδύνατων σημείων του JWT και στη συνέχεια στην παρουσίαση ολοκληρωμένων τρόπων ενσωμάτωσής του σε εφαρμογές ιστού, εξαλείφοντας τις ευπάθειες που εμφανίζονται. Τέλος, θα παρουσιαστεί μια λεπτομερής περιγραφή λειτουργικότητας προκειμένου να καταδειχθεί πώς και γιατί η υλοποίηση αντιμετωπίζει τα προαναφερθέντα κενά ασφαλείας.
Κύρια θεματική κατηγορία:
Τεχνολογία – Πληροφορική
Λέξεις-κλειδιά:
Access Token, Refresh Token, JWT Revocation, Service Worker JWT Authentication
Αρ. σελίδων ευρετηρίου:
3
Αρ. βιβλιογραφικών αναφορών:
21
