Hallo Raketenwilli,

um deinen Appell noch einmal zu verstärken, möchte ich darauf verweisen, wie man im OAuth-Kontext mit sensitiven Query-Parametern umgeht. Das Fass mache ich deshalb auf, weil es aufgrund der Relevanz (z. B. PSD2) viel Material mit Best-Practices (z. B. RFC 9700 mit Verweis auf den Referrer als weitere Problemquelle) und formalen Analysen gibt.

Solche Query-Parameter sind i.d.R. kurzlebig (im Fall eines authorization code wenige Minuten) und durch Erweiterungen des Standards auch nur durch die Partei einlösbar, die zusätzlich noch andere Informationen vorweisen kann, die nicht im URL-Parameter enthalten waren (siehe PKCE).

Aufgrund dieser Probleme gibt eine OAuth-Erweiterung namens Pushed Authorization Requests (RFC 9126), die die Problematik dadurch umgeht, dass die sensiblen Daten gar nicht erst in irgendwelchen Query-Parametern landen (siehe Introduction in RFC 9126).

Viele Grüße
Julius