#pkce — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #pkce, aggregated by home.social.
-
OAuth 2.0 Security Best Practices: How to Secure OAuth Tokens & Why Use PKCE – Source: securityboulevard.com https://ciso2ciso.com/oauth-2-0-security-best-practices-how-to-secure-oauth-tokens-why-use-pkce-source-securityboulevard-com/ #rssfeedpostgeneratorecho #Authenticationprotocols #SecurityBloggersNetwork #CyberSecurityNews #SecurityBoulevard #Identity&Access #authentication #oauth20 #PKCE
-
OAuth 2.0 Security Best Practices: How to Secure OAuth Tokens & Why Use PKCE – Source: securityboulevard.com https://ciso2ciso.com/oauth-2-0-security-best-practices-how-to-secure-oauth-tokens-why-use-pkce-source-securityboulevard-com/ #rssfeedpostgeneratorecho #Authenticationprotocols #SecurityBloggersNetwork #CyberSecurityNews #SecurityBoulevard #Identity&Access #authentication #oauth20 #PKCE
-
OAuth 2.0 Security Best Practices: How to Secure OAuth Tokens & Why Use PKCE – Source: securityboulevard.com https://ciso2ciso.com/oauth-2-0-security-best-practices-how-to-secure-oauth-tokens-why-use-pkce-source-securityboulevard-com/ #rssfeedpostgeneratorecho #Authenticationprotocols #SecurityBloggersNetwork #CyberSecurityNews #SecurityBoulevard #Identity&Access #authentication #oauth20 #PKCE
-
OAuth 2.0 Security Best Practices: How to Secure OAuth Tokens & Why Use PKCE – Source: securityboulevard.com https://ciso2ciso.com/oauth-2-0-security-best-practices-how-to-secure-oauth-tokens-why-use-pkce-source-securityboulevard-com/ #rssfeedpostgeneratorecho #Authenticationprotocols #SecurityBloggersNetwork #CyberSecurityNews #SecurityBoulevard #Identity&Access #authentication #oauth20 #PKCE
-
#Hollo 0.6.0 is coming soon!
We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:
- RFC 8414 (OAuth metadata discovery)
- RFC 7636 (#PKCE support)
- Improved authorization flows following RFC 9700 best practices
New features
- Extended character limit (4K → 10K)
- Code syntax highlighting
- Customizable profile themes
- EXIF metadata stripping for privacy
Important notes for update
- Node.js 24+ required
- Updated environment variables for asset storage
- Stronger
SECRET_KEYrequirements (44+ chars)
Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏
Full changelog and upgrade guide coming with the release.
-
#Hollo 0.6.0 is coming soon!
We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:
- RFC 8414 (OAuth metadata discovery)
- RFC 7636 (#PKCE support)
- Improved authorization flows following RFC 9700 best practices
New features
- Extended character limit (4K → 10K)
- Code syntax highlighting
- Customizable profile themes
- EXIF metadata stripping for privacy
Important notes for update
- Node.js 24+ required
- Updated environment variables for asset storage
- Stronger
SECRET_KEYrequirements (44+ chars)
Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏
Full changelog and upgrade guide coming with the release.
-
#Hollo 0.6.0 is coming soon!
We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:
- RFC 8414 (OAuth metadata discovery)
- RFC 7636 (#PKCE support)
- Improved authorization flows following RFC 9700 best practices
New features
- Extended character limit (4K → 10K)
- Code syntax highlighting
- Customizable profile themes
- EXIF metadata stripping for privacy
Important notes for update
- Node.js 24+ required
- Updated environment variables for asset storage
- Stronger
SECRET_KEYrequirements (44+ chars)
Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏
Full changelog and upgrade guide coming with the release.
-
#Hollo 0.6.0 is coming soon!
We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:
- RFC 8414 (OAuth metadata discovery)
- RFC 7636 (#PKCE support)
- Improved authorization flows following RFC 9700 best practices
New features
- Extended character limit (4K → 10K)
- Code syntax highlighting
- Customizable profile themes
- EXIF metadata stripping for privacy
Important notes for update
- Node.js 24+ required
- Updated environment variables for asset storage
- Stronger
SECRET_KEYrequirements (44+ chars)
Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏
Full changelog and upgrade guide coming with the release.
-
#Hollo 0.6.0 is coming soon!
We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:
- RFC 8414 (OAuth metadata discovery)
- RFC 7636 (#PKCE support)
- Improved authorization flows following RFC 9700 best practices
New features
- Extended character limit (4K → 10K)
- Code syntax highlighting
- Customizable profile themes
- EXIF metadata stripping for privacy
Important notes for update
- Node.js 24+ required
- Updated environment variables for asset storage
- Stronger
SECRET_KEYrequirements (44+ chars)
Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏
Full changelog and upgrade guide coming with the release.
-
Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.
https://habr.com/ru/articles/880544/
#аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly
-
Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.
https://habr.com/ru/articles/880544/
#аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly
-
Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.
https://habr.com/ru/articles/880544/
#аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly
-
Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.
https://habr.com/ru/articles/880544/
#аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly
-
New release of my #python #django #oauth #oidc #foss library https://pypi.org/project/django-oauth2-authcodeflow 🔑
Main changes are:
- Do not send the client secret, even if defined, with #PKCE by default ⚙️
- Fix for mysql InnoDB users 🩹
- A fix for usage with Azure Entra public app 🩹
- Allow to logout even when using the Django ModelBackend 🩹Thanks a lot to contributors 👍
Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.
-
New release of my #python #django #oauth #oidc #foss library https://pypi.org/project/django-oauth2-authcodeflow 🔑
Main changes are:
- Do not send the client secret, even if defined, with #PKCE by default ⚙️
- Fix for mysql InnoDB users 🩹
- A fix for usage with Azure Entra public app 🩹
- Allow to logout even when using the Django ModelBackend 🩹Thanks a lot to contributors 👍
Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.
-
New release of my #python #django #oauth #oidc #foss library https://pypi.org/project/django-oauth2-authcodeflow 🔑
Main changes are:
- Do not send the client secret, even if defined, with #PKCE by default ⚙️
- Fix for mysql InnoDB users 🩹
- A fix for usage with Azure Entra public app 🩹
- Allow to logout even when using the Django ModelBackend 🩹Thanks a lot to contributors 👍
Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.
-
New release of my #python #django #oauth #oidc #foss library https://pypi.org/project/django-oauth2-authcodeflow 🔑
Main changes are:
- Do not send the client secret, even if defined, with #PKCE by default ⚙️
- Fix for mysql InnoDB users 🩹
- A fix for usage with Azure Entra public app 🩹
- Allow to logout even when using the Django ModelBackend 🩹Thanks a lot to contributors 👍
Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.
-
New release of my #python #django #oauth #oidc #foss library https://pypi.org/project/django-oauth2-authcodeflow 🔑
Main changes are:
- Do not send the client secret, even if defined, with #PKCE by default ⚙️
- Fix for mysql InnoDB users 🩹
- A fix for usage with Azure Entra public app 🩹
- Allow to logout even when using the Django ModelBackend 🩹Thanks a lot to contributors 👍
Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.
-
[Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC
Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .
https://habr.com/ru/articles/796511/
#SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam
-
[Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC
Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .
https://habr.com/ru/articles/796511/
#SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam
-
[Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC
Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .
https://habr.com/ru/articles/796511/
#SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam
-
#manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.
message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho
closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?
https://github.com/mastodon/mastodon/issues/21913
blah blah #mit #opensource
https://src.developing-today.com/MastodonFriendCheck
https://github.com/developing-today/MastodonFriendCheck🐘🐘🐘
-
#manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.
message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho
closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?
https://github.com/mastodon/mastodon/issues/21913
blah blah #mit #opensource
https://src.developing-today.com/MastodonFriendCheck
https://github.com/developing-today/MastodonFriendCheck🐘🐘🐘
-
#manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.
message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho
closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?
https://github.com/mastodon/mastodon/issues/21913
blah blah #mit #opensource
https://src.developing-today.com/MastodonFriendCheck
https://github.com/developing-today/MastodonFriendCheck🐘🐘🐘
-
#manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.
message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho
closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?
https://github.com/mastodon/mastodon/issues/21913
blah blah #mit #opensource
https://src.developing-today.com/MastodonFriendCheck
https://github.com/developing-today/MastodonFriendCheck🐘🐘🐘
-
#manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.
message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho
closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?
https://github.com/mastodon/mastodon/issues/21913
blah blah #mit #opensource
https://src.developing-today.com/MastodonFriendCheck
https://github.com/developing-today/MastodonFriendCheck🐘🐘🐘
-
Browser APIs have gotten so much better lately! Way easier to do @oauth_2 PKCE in a browser now:
✅ good random number generators
✅ secure hashing functions
Just missing a good base64 encoding function. (Check out the ugly hack in the post.)
https://developer.okta.com/blog/2019/05/01/is-the-oauth-implicit-flow-dead#begin-the-pkce-request -
A pretty good step-by-step walkthrough of the @oauth2 PKCE flow by @afitnerd https://developer.okta.com/blog/2018/12/13/oauth-2-for-native-and-mobile-apps
and yes it's pronounced "pixie"