手机版
你好,游客 登录 注册
背景:
阅读新闻

漏洞警告:某些 OpenID 2.0 实现包含安全隐患

[日期:2013-08-16] 来源:oschina.net  作者:Linux [字体: ]

OpenID 官方组织发布漏洞警告:目前存在某些 OpenID 2.0 认证实现由于不遵守 OpenID Authentication 2.0 规范导致存在了安全漏洞隐患。

漏洞的本质:

在 OpenID 2.0 规范中的 11.4.2.1 部分中描述了:“必须在私有关联上对 OP 进行签名验证,一定不能在共享关联上验证。” 而一些 OpenID 实现没有区分私有关联和共享关联的差别,直接在共享关联上执行签名验证。

漏洞的影响:

通过精心制作的建立在共享关联上的签名可以让任何依赖方(RP)通过共享关联到一个存在漏洞的 OP 上。这也使得攻击者可以方便的登录到 RP 上。

如何检查是否存在此漏洞:

可通过下面这个网站来验证:
http://test-id.org/OP/CheckAuthSharedSecret.aspx

希望这份通知能引起社区的注意。

Don Thibeau
OpenID 基金会执行董事

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款