测试想法

测试需要的功能
技术
是否工作

日常生活點滴的記錄:

IT 计算机信息网络安全技术:

IT 计算机&信息网络 技术:

Une faille dans l’intégration d’OAuth 2.0 et OpenID touche les acteurs du web


Un chercheur a trouvé une faille dans les spécifications des protocoles de sécurité OAuth 2.0 et OpenID qui affecte les grands acteurs du web. 


Depuis la découverte de la faille Heartbleed, le monde du web se penche sur la fiabilité et la sécurisation de certaines solutions Open Source, notamment dans le domaine de la sécurité des communications. Dans la loi des séries, un chercheur vient de découvrir une vulnérabilité dans la mise en place de deux protocoles d’authentification OAuth 2.0 et OpenID, utilisés par de nombreux acteurs du web. Ces deux protocoles permettent l’authentification d’un site web utilisant l’API sécurisée d’une autre application ou via des vérifications de jeton sur un serveur. Ainsi, l’utilisateur peut depuis son compte Facebook avoir accès à des services d’autres sites web sans avoir besoin de s’identifier à nouveau.


Récupérer des informations sensibles:

Wang Jing, doctorant l’Université technologique de Nanyang à Singapour, explique dans une page web que cette faille touche plusieurs grands sites comme Facebook, Google, Linkedin ou Microsoft (principalement la plateforme Live). La vulnérabilité facilite une attaque connue sous le nom « Covert ReDirect » (redirection secrète) qui donne son nom à la faille découverte. L’objectif est d’orienter l’utilisateur vers un site malveillant et de lui présenter une fenêtre avec un module d’authentification ressemblant aux sites connus (Facebook, Linkedin, etc.) pour récupérer ses identifiants et ensuite s’en servir sur d’autres sites. Wang Jing explique qu’ OAuth et OpenID ne parviennent pas à vérifier correctement les URL. « En donnant une autorisation avec d’importants privilèges, l’attaquant peut obtenir des informations plus sensibles comme les messages de la boîte mail, la liste de contacts et leur présence en ligne et même gérer le compte», constate l’universitaire chinois.


Une solution : la liste blanche

Il indique dans son blog avoir trouvé la vulnérabilité en février dernier avant de la signaler aux différents acteurs. Il admet que le travail sur un patch « est plus facile à dire qu’à faire ». Pour autant, il existe une solution avec la mise en place d’une liste blanche où des sites tiers doivent s’enregistrer s’ils veulent que les utilisateurs puissent interagir avec leurs API. Cette solution a été intégrée par Linkedin. Pour les autres sites sollicités par Wang Jing, Google lui a indiqué qu’il enquêtait sur le problème. Microsoft a identifié ce problème sur un site tiers. Yahoo n’a pour l’instant pas répondu à la notification du chercheur chinois.





Articles Liés:

http://blog.kaspersky.fr/des-vulnerabilites-pour-les-boutons-types-sidentifier-avec-facebook/2984/

http://www.tomsguide.com/us/facebook-google-covert-redirect-flaw,news-18726.html

http://news.yahoo.com/facebook-google-users-threatened-security-192547549.html

http://tetraph.com/covert_redirect/oauth2_openid_covert_redirect.html

http://diebiyi.com/articles/security/covert-redirect/sicherheitslucke-in-oauth-2-0-und-openid-gefunden/

http://ittechnology.lofter.com/post/1cfbf60d_7063549

http://russiapost.blogspot.ru/2015/05/une-faille-dans-lintegration-doauth-20.html

http://itinfotech.tumblr.com/post/119434934156/securitypost-une-faille-dans-lintegration

http://whitehatpost.blog.163.com/blog/static/242232054201542071447363/

http://securitypost.tumblr.com/post/119434899927/une-faille-dans-lintegration-doauth-2-0-et

http://japanbroad.blogspot.jp/2015/05/une-faille-dans-lintegration-doauth-20.html

http://frenchairing.blogspot.fr/2015/05/une-faille-dans-lintegration-doauth-20.html

https://www.facebook.com/permalink.php?story_fbid=938408222881027&id=874373602617823

https://itinfotechnology.wordpress.com/2015/01/23/une-faille-dans-lintegration-doauth-2-0-et-openid-touche-les-acteurs-du-web/

http://germancast.blogspot.de/2015/05/une-faille-dans-lintegration-doauth-20.html

https://www.facebook.com/permalink.php?story_fbid=1033003866739617&id=922151957824809

http://itsecurity.lofter.com/post/1cfbf9e7_706077f


评论

热度(22)

  1. 计算机网络技术湛天雲海碧波影 转载了此图片  到 行者路上有風有雨有彩虹
  2. 计算机网络技术湛天雲海碧波影 转载了此图片  到 绿意蛙鸣
  3. 计算机网络技术湛天雲海碧波影 转载了此图片
  4. 白帽子安全點滴的記錄 转载了此图片  到 竹意
  5. 白帽子安全點滴的記錄 转载了此图片  到 测试想法
  6. 白帽子安全點滴的記錄 转载了此图片  到 湛天雲海碧波影
  7. 白帽子安全點滴的記錄 转载了此图片  到 文豆 & 文库
  8. 白帽子安全點滴的記錄 转载了此图片