web-dev-qa-db-ja.com

iFrame、ポップアップ、リダイレクト経由のログインにセキュリティの違いはありますか?

ウェブ上で人を認証するためのいくつかの手法があるようです。最も一般的には

  • Javascriptポップアップ(Google、Firefox Persona、Disqusなど)
  • HTTPリダイレクト(OAuth、Facebook)
  • IFrames 、必要に応じてサンドボックスを設定。

質問

1つのアプローチは他のアプローチよりも安全ですか?トレードオフとは何ですか?

考えてみてください。FacebookはOAuth RedirectsとJSベースのポップアップの両方を提供するかもしれません。

authenticationfacebookoauth2iframesingle-sign-on
5
goodguys_activate

ユーザーが埋め込みページが実際にfacebook.comであり、フィッシングページではないことを確認する簡単な方法がないため、iframeは危険です。設定方法によっては、埋め込みを許可すると clickjacking も有効になる場合があります。

ポップアップの使用と現在のページのリダイレクトはユーザーエクスペリエンスの問題であり、セキュリティには影響しません。

3
user2428118

ポップアップの問題については、UXの問題よりもセキュリティの問題の方が少ないです。多くのブラウザとその迷惑行為防止プラグインは、ポップアップが期待どおりに機能しない場合があります。リダイレクトは、特に電話やタブレットなどのモバイルデバイスの場合、よりクリーンになる傾向があります。

1
Jean-Michel Florent