AppSec 2012 : conférence Kyos IT Security – Oauth

Kyos IT Security sera présent à l’Application Security Forum 2012, au travers d’une conférence intitulée « OAUTH : un protocole d’autorisation qui authentifie ? » et réalisée par Maxime Feroul, Directeur Technique.

Cette troisième édition de l’AppSec (Application Security Forum) se déroulera les 6, 7 et 8 Novembre 2012 à la technopole Y-PARC (Yverdon-les-Bains à 40 minutes de Genève).

En savoir plus :

“Sign-in using your facebook, google, linked-in or twitter account…” Porté notamment par les grands acteurs des réseaux sociaux, Oauth est devenu un standard difficilement contournable dans le paysage de la fédération d’identité. Authentifier c’est s’assurer qu’une entité est bien celle qu’elle prétend être. Oauth, quant à lui, se définit comme un “framework” d’autorisation permettant à des applications d’accéder aux données d’un utilisateur en lui demandant sa permission. Pourtant un usage important (Sign-in) semble être l’authentification…

Simple question de sémantique ? Ou réelle subtilité, qui mal comprise, pourrait nous conduire à de mauvaises implémentations ?

En ayant a cœur de répondre à cette question, cette présentation propose de regarder “sous le capot” de ce protocole. De Oauth 1.0 a Oauth 2.0 comment est-ce que cela fonctionne ? est-ce vrai qu’un token d’accès Oauth peut être réutilisé pour “usurper une identité” ? Et par rapport à SAML & OpenId : est-ce différent ou complémentaire ?