Sicherheitsinitiative - DPoP

[ichderjens]

Ein Access oder Refresh Token könnte abgefangen und mit Hilfe eines anderen Clients missbraucht werden, um auf die API eines Homeservers zuzugreifen.
Die Idee wäre den Token zusätzlich abzusichern, indem der Client nachweist, dass nur er im Besitz des Tokens sein darf. Demonstration Proof of Possession https://datatracker.ietf.org/doc/html/rfc9449

[Johennes]

Finde die Idee gut. Vielleicht sollten wir das Angriffsszenario des Tokenabfangs noch etwas konkretisieren.

• MITM zwischen Client und Server sollte in der Regel wegen TLS nicht funktionieren, es sei denn der Angreifer kontrolliert den Zertifikatsstore auf dem Client
• Kann das Token durch direkten Zugriff auf das Client-Gerät abgegriffen werden, dann wäre der private DPoP Key wahrscheinlich ebenfalls abgreifbar
• Dann bliebe eigentlich nur nach der Abgriff des Tokens auf dem Server selbst

Verstehe ich das richtig?