Ergebnis 1 bis 11 von 11
  1. #1
    Avatar von dbarthel
    dbarthel ist offline Haudegen
    registriert
    11-06-2014
    Beiträge
    641

    versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Ende letzter Woche veröffentlichte ein Doktorand der Nanyang Technological University namens Wang Jing einen Bericht über eine Sicherheitslücke, die er „Covert Direct“ („versteckte Umleitung“) nannte.
    Dabei handelt es sich um eine Sicherheitslücke, die Websites betrifft, die OAuth und OpenID zur Überprüfung der Identität nutzen.
    [...]
    Auf vielen Websites kommen OAuth und OpenID zur Identitätsüberprüfung zum Einsatz, wobei sich Nutzer mit den Zugangsdaten anderer großer Websites anmelden können.
    [...]
    Covert Direct stellt ein Problem bei den internen Sicherheitsvorkehrungen von Websites dar, die auf OAuth und OpenID bauen. [...] Eine offene Umleitung tritt auf, wenn eine Website einen Fehler im Aufbau aufweist, durch welchen Angreifer den Code ändern können, der Nutzer auf andere Websites weiterleitet. Diese Umleitungen werden oft von Hackern genutzt, um Zugangs-Tokens zu stehlen [...]
    mehr Infos auf Versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID | Emsisoft Blog
    Geändert von j-l-n (27-09-2014 um 13:55 Uhr) Grund: Präfix geändert
    QR-Code scannen, das beste Fachforum für PHP & Javascipt entdecken.


    PS:

    Das Wort 'Kunst' kommt von Können und nicht von Wollen, denn sonst müsste es 'Wunst' heißen.



    שלום

  2. #2
    Avatar von dbarthel
    dbarthel ist offline Haudegen
    registriert
    11-06-2014
    Beiträge
    641

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Was sagt ihr dazu?
    QR-Code scannen, das beste Fachforum für PHP & Javascipt entdecken.


    PS:

    Das Wort 'Kunst' kommt von Können und nicht von Wollen, denn sonst müsste es 'Wunst' heißen.



    שלום

  3. #3
    Avatar von mikdoe
    mikdoe ist offline Administrator
    registriert
    01-05-2010
    Beiträge
    7.718

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Ich nutze in meinen Projekten nichts von dem Angesprochenen. Und als Benutzer weiss ich es vermutlich nicht, wo es benutzt wird, wäre mir auch egal, hab überall ein anderes Passwort.
    Das deutsche Javascript Forum http://forum.jswelt.de http://forum.jswelt.de/images/logoJsWeltForumV4_32x22.png
    Sorry wenn ich manchmal ohne Hallo und nur klein schreibe! Dann bin ich nicht unfreundlich sondern mit nervigem kleinem Touch Tablet zugange

  4. #4
    SteelWheel ist offline Haudegen
    registriert
    18-07-2012
    Beiträge
    600

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Ich verwende es ebenfalls gar nicht - ich bin kein Freund von "zentralen Zugängen". Nämlich genau aus DEM Grund ... ^^

  5. #5
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.695

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Zitat Zitat von mikdoe Beitrag anzeigen
    Und als Benutzer weiss ich es vermutlich nicht, wo es benutzt wird
    Doch, das weißt du, da dort ja dann steht, dass man sich mit seinem Facebook-, Google-, was-auch-immer-Account anmelden kann und deswegen auch zu der jeweiligen Seite geleitet wird.
    Zitat Zitat von mikdoe Beitrag anzeigen
    hab überall ein anderes Passwort.
    Es geht dabei gar nicht um dein Passwort, das du vergeben hast. So ein Token ist wie ein Passwort für Programm, das auf deinen Account zugreifen will. Wenn jemand das hat, kannst du dein Passwort so oft ändern, wie du willst - das Token wird erst dann ungültig, wenn du es wiederufst.

    Zitat Zitat von SteelWheel Beitrag anzeigen
    "zentralen Zugängen".
    Das ist gar nicht die Hauptidee von OAuth. Obwohl es dafür genutzt werden kann.

  6. #6
    Avatar von mikdoe
    mikdoe ist offline Administrator
    registriert
    01-05-2010
    Beiträge
    7.718

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Zitat Zitat von kkapsner Beitrag anzeigen
    Doch, das weißt du, da dort ja dann steht, dass man sich mit seinem Facebook-, Google-, was-auch-immer-Account anmelden kann
    Achso, darum dreht es sich. Nein, auch das nutze ich als User nicht. Hab ich noch nie gemacht, weil mir das immer unheimlich war, dass Anbieter so eng zusammenarbeiten, dass die selbe Authentifizierung funktionieren soll. Außerdem wollte ich nie, dass die Anbieter meine verschiedensten Benutzernamen auf mich als selbe Person zurückführen können. Ich mache lieber überall einen eigenen User und ein eigenes Passwort. Verknüpft ist da bisher nichts, zumindest nicht über mich. Was die da jetzt mit Canvas anstellen ist natürlich eine andere Kiste, da hab ich ja nur bedingt und nicht dediziert Einfluss drauf.
    Das deutsche Javascript Forum http://forum.jswelt.de http://forum.jswelt.de/images/logoJsWeltForumV4_32x22.png
    Sorry wenn ich manchmal ohne Hallo und nur klein schreibe! Dann bin ich nicht unfreundlich sondern mit nervigem kleinem Touch Tablet zugange

  7. #7
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.695

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Die gemeinsame Authentifizierung ist, wie gesagt, gar nicht das Hauptfeld dafür.
    Für manche Dienste muss man das machen, da es anders nicht funktioniert kann - außer du gibst dem Dienst deine Nutzername und Passwort. Stell' dir vor, du hast irgendeine Seite, die irgendwas Tolles mit deinem Facebook-Account machen kann (z.B. wenn dieses Forum dir keine Email senden würde, wenn ein neuer Beitrag da ist, sondern eine Facebooknachricht). Damit das funktioniert, muss diese Seite sich bei Facebook so Authentifizieren, dass Facebook weiß, dass du das zugelassen hast. Und genau dafür sind die Token da.

  8. #8
    j-l-n Guest

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Im Grunde genommen ist Token-Diebstahl ja nichts anderes als Session-Hijacking bzw. Spoofing. Und da finde ich es Wahnsinn, wie viele User sich nicht der Gefahr in Hotspots - z.B. durch Droidsheep, was die Übernahme von Cookies enorm(!) leicht macht - bewusst sind...

  9. #9
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.695

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Ist auf der einen Seite schlimmer, da die Token nicht ablaufen, und auf der anderen Seite weniger schlimm, da der Token (normalerweise) keinen Vollzugriff auf den Account zulässt und die Übertragung nur ein einziges Mal (beim Einrichten) über den Client des Nutzers stattfindet (wenn man keine sein clientseitige App hat).

  10. #10
    Avatar von dbarthel
    dbarthel ist offline Haudegen
    registriert
    11-06-2014
    Beiträge
    641

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID

    Zitat Zitat von Julian Beitrag anzeigen
    durch Droidsheep, was die Übernahme von Cookies enorm(!) leicht macht - bewusst sind...
    Könntest du eventuell für all die Nicht-Expertern erklären, was Droidsheep ist?
    QR-Code scannen, das beste Fachforum für PHP & Javascipt entdecken.


    PS:

    Das Wort 'Kunst' kommt von Können und nicht von Wollen, denn sonst müsste es 'Wunst' heißen.



    שלום

  11. #11
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.695

    AW: versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID


Ähnliche Themen

  1. OpenID, Google Auth als Login gesucht
    Von mo im Forum Serverseitige Programmierung
    Antworten: 3
    Letzter Beitrag: 26-05-2014, 19:55
  2. Twitter oAuth
    Von The_C im Forum JavaScript
    Antworten: 16
    Letzter Beitrag: 11-01-2013, 11:55
  3. Einloggen mit OAuth
    Von Dudo im Forum JavaScript
    Antworten: 0
    Letzter Beitrag: 12-08-2010, 14:36
  4. Versteckte Eingabe
    Von Reibold im Forum Serverseitige Programmierung
    Antworten: 3
    Letzter Beitrag: 07-06-2006, 13:33
  5. Versteckte Downloads
    Von adi87 im Forum JavaScript
    Antworten: 6
    Letzter Beitrag: 07-07-2005, 15:40

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •