OAuth 和 OpenID 发现严重安全漏洞 - 开源中国社区
OAuth 和 OpenID 发现严重安全漏洞
红薯 2010年07月17日

OAuth 和 OpenID 发现严重安全漏洞

红薯 红薯 发布于2010年07月17日 收藏 0 评论 5

有免费的MySQL,为什么还要买? >>>  

根据内特劳森(Nate Lawson)和泰勒纳尔逊(Taylor Nelson)实验室研究发现:用于第三方网络应用和桌面应用程序认证的 OpenIDOAuth协议存在一个严重的安全威胁风险。事实上,这个安全漏洞影响到其他主机的开源认证服务。该事项将在即将召开的安全会议中提出。

这个漏洞非常有争议,根据该攻击的时间,为需要签名分析和估计的时间,如果攻击者检查了他的企图是正确的或不签字的前几个字符。如果反复这个过程,可能导致在理论上成功入侵。然而,在实践中,很难进行,直到三年前。

三年前,一黑客根据时间入侵进入 XBox。但是,这是一个与主机的直接互动。在网络的环境下,我们需要考虑许多不同因素如网络负载,抖动和延迟等等。

劳森和纳尔逊都声称,他们已在网络上进行试验,并成功地获得了敏感信息。关于这方面的进一步细节将在拉斯维加斯即将举行的黑帽子会议上展示

Via techie-buzz.com

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:OAuth 和 OpenID 发现严重安全漏洞
分享
评论(5)
最新评论
0
攻击成功概率极低,因为受网络影响极大,除非是极其专业的黑客。一般的服务器完全不必担心。
0

引用来自“Michael Liao”的评论

其实这个bug就是由于判断signature的时候equals方法返回时间不同,导致攻击者可以不断猜测。JOpenID的修复:
http://code.google.com/p/jopenid/source/diff?spec=svn110&r=110&format=side&path=/trunk/JOpenId/src/org/expressme/openid/OpenIdManager.java&old_path=/trunk/JOpenId/src/org/expressme/openid/OpenIdManager.java&old=90

兄台,不发布一个补丁版本?
0
其实这个bug就是由于判断signature的时候equals方法返回时间不同,导致攻击者可以不断猜测。JOpenID的修复:
http://code.google.com/p/jopenid/source/diff?spec=svn110&r=110&format=side&path=/trunk/JOpenId/src/org/expressme/openid/OpenIdManager.java&old_path=/trunk/JOpenId/src/org/expressme/openid/OpenIdManager.java&old=90
0
是很安全啊
0
我以为Oath是很安全的呢。
顶部