Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

OpenID Attribute Exchange probléma

2011.05.07. 15:02 | buherator | Szólj hozzá!

Az OpenID egy decentralizált autentikációs protokoll, amely lehetőséet ad a felhasználóknak, hogy egy azonosítóval (identitással) férjenek hozzá több különböző webes szolgáltatáshoz. OpenID-t használ többek között a Google, a Yahoo! és a Flickr is. 

Az OpenID Foundation figyelmeztetése szerint a protokoll Attribute Exchange (AX) kiterjesztését használó alkalmazások sebezhetőek lehetnek külső támadásokkal szemben, ezért az OpenID implementáció frissítését ajánlják. 

Az AX kiterjesztés lehetővé teszi, hogy az azonosító végpontok kicseréljenek egymás között bizonyos, a végfelhasználóhoz kötődő adatokat (attributumokat). A problémát az okozza, hogy ez a kiterjesztés eredetileg nem követelte meg az üzenetek digitális aláírását, ezért az átvitt attributumok manipulálhatók voltak. 

A kiterjesztés legfrissebb implementációban már megkövetelik az aláírást. 

A problémát felfedező szakemberek az OpenID Foundationnel közösen már korábban felvették a kapcsolatot a legnagyobb felhasználókkal, akik már javították a problémát, de a kisebb halak csak a mostani frissítésre támaszkodhatnak.

Címkék: bug openid

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.