Allvarliga sÀkerhetshÄl för OAuth och OpenID

Allvarliga sÀkerhetshÄl för OAuth och OpenID

Stormen av Heartbleed dessa dagar börjar lugna sig, och det Àr redan rött varning för en ny sÀkerhetsnöd. Den hÀr gÄngen skulle de inblandade tjÀnsterna vara OpenID Àr OAuth 2.0, tvÄ autentiseringsprogram som lÄter dig ansluta till olika webbplatser med egna konton Google, Facebook eller andra webbplatser.

LÄS OCH: Heartbleed: alla lösenord du behöver Ă€ndra

Bristen upptĂ€cktes av Wang JingDoktorand vid Nanyang Technological University och kallas “Dold omdirigering“, Vilket Ă€r en dold omdirigering. I grund och botten tillĂ„ter det en hackare att fĂ„ din kontodata med hjĂ€lp av en phising som i alla avseenden simulerar auktoriseringsskĂ€rmen för OpenID Ă€r ELLERAuth, bara lösenordet skickas till hackaren och inte till webbplatsen.

Skillnaden mellan en klassisk phising-webbplats, som ofta lÀtt kan identifieras av de mest uppmÀrksamma surfarna, Àr att den anvÀnder den ursprungliga webbplatsen för att sÀtta fÀllan, och inte en webbplats som skapats pÄ ett konstnÀrligt sÀtt, vilket vilseleds av sin adress.

Tekniskt sett Àr det dÀrför inte en brist, men det Àr fortfarande nÄgot som mÄste övervakas noggrant för att undvika obehagliga olÀgenheter.

TyvÀrr finns det lite som en anvÀndare kan göra för att lösa situationen, och till och med en webbplats har vÀldigt lite incitament att lösa ett problem som tillhör en tredje part. För tillfÀllet Àr dÀrför det bÀsta att göra extremt försiktig med att ansluta med Twitter, Google, Facebook och andra grundlÀggande konton och vara uppmÀrksam pÄ lÀnkarna som omedelbart ber om autentisering.