又是一天，又是一个重大的互联网安全漏洞（让开，心碎）。OpenID和oauth2.0中发现了一个bug，这两个身份验证程序允许您使用Google、Facebook和其他主要帐户登录网站。以下是您需要了解的安全漏洞。

什么是openid和oauth(openid and oauth)？

正如我们之前所解释的，OAuth及其替代OpenID允许您使用Google、Twitter、Facebook或其他凭据登录站点或应用程序，而无需再创建一个帐户或给予应用程序超出必要的权限。OAuth和OpenID本质上是通过站点对您进行身份验证，或者告诉站点您是您所说的那个人，并允许您登录而不必输入用户名和密码。

因为OAuth和OpenID使登录网站变得简单（网站管理员不必维护自己的登录系统），所以像LinkedIn、PayPal、Yahoo等网站广泛使用OAuth和OpenID。

什么是这个新漏洞(this new vulnerability)？

这可能不是一个新的漏洞，但它是由南洋理工大学博士生王静发现的。该漏洞被称为“隐蔽重定向”漏洞，允许黑客利用恶意钓鱼链接诱骗用户授权应用程序或网站。例如，如果您访问一个站点并单击一个按钮登录到Google或Facebook，您将看到熟悉的授权弹出窗口。如果您授权登录，您的个人数据可以发送到黑客而不是网站。这可以包括您的电子邮件地址、联系人列表、生日等。该漏洞还可以将您重定向到其他外观相似的网站。

也许最可怕的是隐蔽重定向漏洞没有使用一个可能被更精明的冲浪者发现的假域名，而是使用你试图登录的真实网站地址。所以很难发现。

你能做什么

不幸的是，CNET报道说，这对网站来说并不容易修复，而且第三方网站“几乎没有动力”这么做：

网站安全公司WhiteHat Security的创始人兼临时首席执行官杰里迈亚•格罗斯曼（Jeremiah Gros**an）在查看了数据后同意王的调查结果。

“虽然我不能百分之百肯定，但我可以发誓我在OAuth中看到过一个非常相似的漏洞报告。格罗斯曼说：“看来这个问题基本上是一个已知的WONTFIX。

“也就是说，修复起来并不容易，任何有效的补救措施都会对用户体验产生负面影响。这只是另一个例子，说明网络安全已从根本上被破坏，而那些权力机构几乎没有动力去解决固有的缺陷。”

在我们了解更多信息之前，最好格外小心使用Twitter、Google或Facebook登录网站。正如CNET所建议的，当心那些会立即要求您登录的链接，并关闭窗口以防止重定向攻击。像往常一样，小心你访问的网站和链接。

OAuth中存在严重的安全漏洞，OpenID发现了| CNET