又是一天,又是一个重大的互联网安全漏洞(让开,心碎)。OpenID和oauth2.0中发现了一个bug,这两个身份验证程序允许您使用Google、Facebook和其他主要帐户登录网站。以下是您需要了解的安全漏洞。
正如我们之前所解释的,OAuth及其替代OpenID允许您使用Google、Twitter、Facebook或其他凭据登录站点或应用程序,而无需再创建一个帐户或给予应用程序超出必要的权限。OAuth和OpenID本质上是通过站点对您进行身份验证,或者告诉站点您是您所说的那个人,并允许您登录而不必输入用户名和密码。
因为OAuth和OpenID使登录网站变得简单(网站管理员不必维护自己的登录系统),所以像LinkedIn、PayPal、Yahoo等网站广泛使用OAuth和OpenID。
这可能不是一个新的漏洞,但它是由南洋理工大学博士生王静发现的。该漏洞被称为“隐蔽重定向”漏洞,允许黑客利用恶意钓鱼链接诱骗用户授权应用程序或网站。例如,如果您访问一个站点并单击一个按钮登录到Google或Facebook,您将看到熟悉的授权弹出窗口。如果您授权登录,您的个人数据可以发送到黑客而不是网站。这可以包括您的电子邮件地址、联系人列表、生日等。该漏洞还可以将您重定向到其他外观相似的网站。
也许最可怕的是隐蔽重定向漏洞没有使用一个可能被更精明的冲浪者发现的假域名,而是使用你试图登录的真实网站地址。所以很难发现。
不幸的是,CNET报道说,这对网站来说并不容易修复,而且第三方网站“几乎没有动力”这么做:
网站安全公司WhiteHat Security的创始人兼临时首席执行官杰里迈亚•格罗斯曼(Jeremiah Gros**an)在查看了数据后同意王的调查结果。
“虽然我不能百分之百肯定,但我可以发誓我在OAuth中看到过一个非常相似的漏洞报告。格罗斯曼说:“看来这个问题基本上是一个已知的WONTFIX。
“也就是说,修复起来并不容易,任何有效的补救措施都会对用户体验产生负面影响。这只是另一个例子,说明网络安全已从根本上被破坏,而那些权力机构几乎没有动力去解决固有的缺陷。”
在我们了解更多信息之前,最好格外小心使用Twitter、Google或Facebook登录网站。正如CNET所建议的,当心那些会立即要求您登录的链接,并关闭窗口以防止重定向攻击。像往常一样,小心你访问的网站和链接。
OAuth中存在严重的安全漏洞,OpenID发现了| CNET
... 那是什么意思?这意味着有人在查看OneLogin的敏感数据。尽管大部分数据都是加密的,但OneLogin相信攻击者至少能够解密部分数据。 ...
... 不过,令人遗憾的是,我们不断发现,互联网上没有什么是安全的。一个很好的例子:2017年春季的网络钓鱼企图欺骗谷歌文档并滥用谷歌OAuth系统。攻击者是如何入侵谷歌账户的?什么数据丢失了?你怎...
...的移动实现的中间人攻击。这听起来很技术,但它实际上意味着什么,你的数据安全吗? ...
...这些网站上,您的真实身份对服务来说并不重要。这并不意味着你不会在推特上曝光很多信息。也就是说,除非你有一个私人帐户,否则你所有的推文都是公开的。不过,最好还是检查一下流氓应用程序,这样它们就不会代表你...
...破译的单词组成的reCAPTCHA。从这些升级测试中获得的知识意味着谷歌图书服务的许多经典文献的自动化数字化。 ...
... 欧盟通用数据保护条例(GDPR)的实施意味着企业现在承诺在72小时内披露任何违规行为。很难跟上所有最新的黑客攻击,所以我们总结了一些今年最值得注意的漏洞。 ...
以旧换新。这就是从32位Linux发行版过渡到64位Linux发行版背后的故事。 ...
...不同。这些应用程序所能做的是有限的,唯一的访问令牌意味着帐户访问可以在任何时候撤销,而无需更改您的主密码,也无需撤销其他应用程序的访问。 oauth的工作原理 在使用OAuth时,您可能不会看到“OAuth”这个词出现。网...
...存入银行,但你必须多次购买。不过还是有一个账户。 这对你的影响取决于你旅行的方式和地点。如果你一直在寻找一个Wi-Fi信号,这对你来说可能是巨大的。如果你更像一个家庭成员,你可能再也不会想到它了。你去哪里旅...