News Verunsicherung über angebliche Lücke in OAuth und OpenID

Verunsicherung wegen Berichterstattung über angebliche Lücke in OAuth und OpenID!
 
Würden die Betreiber ihre Redirect-URLs beim dem Dienst registrieren

Schoen darueber informiert zu werden, nun verstehe ich, warum die Redirect-URLs bei den
Diensten mittlerweile eingetragen werden muessen.
 
"Möglichkeit, Nutzer bei verschiedenen Diensten ohne Registrierung etwa mittels deren Facebook- oder Google-Account mit nur einem Klick und einem Passwort anzumelden."

KRANK!! KRANK!! KRANK!!

Bei mir bekommt jeder ein eigenes Emailkonto, Nickname und Passwort - und das ist gut so!
 
deodor schrieb:
Bei mir bekommt jeder ein eigenes Emailkonto, Nickname und Passwort - und das ist gut so!

Ja ne ist klar und dann ganze Excel Tabellen zur Hand haben um zu Wissen wo ich mich wie angemeldet habe oder wie? xD
 
Ich seh das ganze System kritisch. Je mehr es genutzt wird, umso eher können Pisher es ausnutzen, denn es ist ja vertraut.

TNB schrieb:
Ja ne ist klar und dann ganze Excel Tabellen zur Hand haben um zu Wissen wo ich mich wie angemeldet habe oder wie? xD

Warum? Maildomain, Broadcastabfrage der eMails, Loginmailadresse enthält Domainname (z.B. computerbase@meine-mail-domain.de), dazu einen Paßwortsafem wo ist das Problem?
 
Und worin besteht da jetzt genau der Unterschied zu einem normalen Phishing Angriff? Sieht mir doch sehr nach Selbstprofilierung aus (sofern ich es richtig verstanden habe).
 
Der Unterschied zum eigentlichen Phishing ist, dass in der "klassischen" Variante der User auf einen Link klickt, welcher ihn im Browser auf eine Webseite führt. Auf dieser Webseite müsste man nun die Login-Details eingeben (Bsp.: E-mail, Passwort). Man sollte dann auf Basis der URL darauf aufmerksam werden (Bsp.: www.face-book.com, und nicht www.facebook.com). Ebenfalls auffällig ist das oft nicht authentisch aussehende Design und/oder auftreten der Webseite. Mit dem hier nun mehr oder minder neu beschriebenen Verfahren wirst Du nicht auf eine Seite gelenkt.
Dabei handelt es sich um die Möglichkeit, Nutzer bei verschiedenen Diensten ohne Registrierung etwa mittels deren Facebook- oder Google-Account mit nur einem Klick und einem Passwort anzumelden.
Folglich ist Dir hier gar keine Möglichkeit gegeben, festzustellen ob Du die Informationen an eine manipulierte Seite geschickt werden.
Aber wie im Artikel beschrieben, sollten hier eigentlich Sicherheitsmechanismen greifen.
As per the core spec, every actual redirect URI sent with the respective "client_id" to the end-user authorization endpoint must match the registered redirect URI. Where it does not match, the authorization server should assume that the inbound GET request has been sent by an attacker and refuse it.
 
[...] da taucht bereits das vermeintlich nächste große Sicherheitsproblem auf, das Anwender verunsichert. [...]
Bezug auf Sicherheitsproblem, keine Einleitung zum Nebensatz. Leider keine Glanzarbeit der Artikel! ;)
 
Zurück
Oben