又是一天,又是一個重大的網際網路安全漏洞(讓開,心碎)。OpenID和oauth2.0中發現了一個bug,這兩個身份驗證程式允許您使用Google、Facebook和其他主要帳戶登入網站。以下是您需要瞭解的安全漏洞。
正如我們之前所解釋的,OAuth及其替代OpenID允許您使用Google、Twitter、Facebook或其他憑據登入站點或應用程式,而無需再建立一個帳戶或給予應用程式超出必要的許可權。OAuth和OpenID本質上是透過站點對您進行身份驗證,或者告訴站點您是您所說的那個人,並允許您登入而不必輸入使用者名稱和密碼。
因為OAuth和OpenID使登入網站變得簡單(網站管理員不必維護自己的登入系統),所以像LinkedIn、PayPal、Yahoo等網站廣泛使用OAuth和OpenID。
這可能不是一個新的漏洞,但它是由南洋理工大學博士生王靜發現的。該漏洞被稱為“隱蔽重定向”漏洞,允許駭客利用惡意釣魚連結誘騙使用者授權應用程式或網站。例如,如果您訪問一個站點並單擊一個按鈕登入到Google或Facebook,您將看到熟悉的授權彈出視窗。如果您授權登入,您的個人資料可以傳送到駭客而不是網站。這可以包括您的電子郵件地址、聯絡人列表、生日等。該漏洞還可以將您重定向到其他外觀相似的網站。
也許最可怕的是隱蔽重定向漏洞沒有使用一個可能被更精明的衝浪者發現的假域名,而是使用你試圖登入的真實網站地址。所以很難發現。
不幸的是,CNET報道說,這對網站來說並不容易修複,而且第三方網站“幾乎沒有動力”這麼做:
網站安全公司WhiteHat Security的創始人兼臨時執行長傑裡邁亞•格羅斯曼(Jeremiah Gros**an)在查看了資料後同意王的調查結果。
“雖然我不能百分之百肯定,但我可以發誓我在OAuth中看到過一個非常相似的漏洞報告。格羅斯曼說:“看來這個問題基本上是一個已知的WONTFIX。
“也就是說,修複起來並不容易,任何有效的補救措施都會對使用者體驗產生負面影響。這隻是另一個例子,說明網路安全已從根本上被破壞,而那些權力機構幾乎沒有動力去解決固有的缺陷。”
在我們瞭解更多資訊之前,最好格外小心使用Twitter、Google或Facebook登入網站。正如CNET所建議的,當心那些會立即要求您登入的連結,並關閉視窗以防止重定向攻擊。像往常一樣,小心你訪問的網站和連結。
OAuth中存在嚴重的安全漏洞,OpenID發現了| CNET
...為它節省了大量的時間,並將您的密碼保持在最低限度。OpenID、使用社交網路憑據登入以及其他類似的方法非常流行。(說實話,我自己用的。) ...
... 現代智慧**最大的安全漏洞是其軟體。透過利用瀏覽器或作業系統中的安全漏洞,攻擊者可以遠端訪問智慧裝置的所有功能,包括麥克風。事實上,中情局就是這樣訪問其目標的大多數智慧...
... 研究人員發現,很大一部分Android應用程式缺少這種驗證。相反,Facebook的伺服器將訪問令牌傳送到Facebook應用程式。然後,訪問令牌將被傳遞到第三方應用程式。然後,第三方應用...
...兩個標準可以讓您喜歡的網站輕鬆新增社交登入:OAuth和OpenID。OAuth允許您授權應用程式和網站從另一個網站訪問您的資料,而OpenID允許您在應用程式或網站上標識自己。 ...
... 從那裡,駭客發現了一些額外的檔案。暫存器報告這包括過期的加密金鑰和DNS證書。金鑰不允許駭客窺探流量,如果他們窺探了流量,NordVPN說他們只能看到與ISP相同的資料。 ...
...已經發生了相當長一段時間的舉動。就像任何轉變一樣,這對一些人來說是無痛的,而對另一些人來說是一個很大的頭痛。如果你還沒有解決這個問題,很有可能你很快就會解決。 ...
最近經常出現的一個詞是同態加密。許多公司和線上服務正在將加密模式轉換為一種同態加密,宣傳這是為了更好地保護使用者隱私和安全。 ...
在蘋果的HomePod mini中包含了一種叫做執行緒的新技術。但這是什麼?我們將重點介紹它的作用,以及它將如何改變您與智慧家居的互動方式。 ...
...原理。一位名為Mak(@maciekkotowicz)的Twitter使用者在TrickBot中發現了一段程式碼,可以掃描800x600或1024x768的解析度。 ...