Monthly Archives: June 2014

Une faille dans l’intégration d’OAuth 2.0 et OpenID touche les acteurs du we

Un chercheur a trouvé une faille dans les spécifications des protocoles de sécurité OAuth 2.0 et OpenID qui affecte les grands acteurs du web.    Depuis la découverte de la faille Heartbleed, le monde du web se penche sur la … Continue reading

Posted in Computing Science, Web Application Technology | Tagged , , , , , , , , , , , , , , , , , , , , , , | Leave a comment

พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า, Covert Redirect

Originally posted on INZEED Business Information & Counsel:
พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า, Covert Redirect Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก Jing เรียกช่องโหว่นี้ว่า “Covert Redirect” เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้ แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูก ใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจาก เว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้) http://biboying.lofter.com/post/1cc9f4f5_43973bc

Posted in Computer & Web Technology, Web Technology | Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Leave a comment