АНАЛИЗ НОВОСТЕЙ: OAuth «тайное перенаправление» не есть второй Heartbleed, но исследователи спешат для нахождения следующего громадного применения безопасности. Это умно, дабы сделать так.Это было практически один месяц назад, что недостаток шифрования Уровня защищенных сокетов (SSL) Heartbleed перевернул вверх ногами мир с одним из большинства обширно достигающих инцидентов безопасности прошлого десятилетия. С того времени поставщики, носители и исследователи все пробовали отыскать следующий недостаток Heartbleed-типа с маленьким успехом.
2 мая мой ящик входящих сообщений был засыпан требованиями, и комментарии о «следующем Heartbleed», недостатке безопасности в распространяющихся протоколах аутентификации OAuth и OpenID, назвали «тайное перенаправление». Требования случились от отчета, опубликованного Чжин Ваном, аспирантом в Наньяне Технологический университет в Сингапуре. OAuth и OpenID являются обширно развернутыми разработками, каковые снабжают несложной метод к пользователям аутентифицировать к услугам.
«Практически целый основной OAuth 2.0 и провайдеры OpenID затронуты, такие как Facebook, Гугл, Яху, LinkedIn, Микрософт, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sohu, и т.д.», записал Ван. «Уязвимость имела возможность вести для Открытия нападений Redirect и для клиентов и для провайдеров OAuth 2.0 либо OpenID».В «открытом перенаправлении» наступление, информация пользователя бессознательно перенаправляется к несанкционированному размещению. Возможность недостатка в OAuth и OpenID есть той, которая имела возможность иметь тот же вид влияния как уязвимость Heartbleed, но очевидный факт – то, что эти две уязвимости очень отличаются.Heartbleed есть недостатком в OpenSSL с открытым исходным кодом криптографическая библиотека, пользовавшаяся миллионами серверов и встроенных устройств.
OpenSSL оказывает помощь включить шифрование SSL, которое снабжает безопасность для данных в движении. Недостаток Heartbleed не есть проблемой реализации; не имеет значения, как сконфигурированы сайты.
Несложнее говоря, в случае если сайт делал уязвимую версию OpenSSL, сайт и все его пользователи находятся в опасности.С тайным недостатком перенаправления главная предпосылка нападения обязана применять в собственных заинтересованностях ранее известную проблему неверной конфигурации в OAuth и OpenID. Один из большинства сжатых комментариев о том, из-за чего тайное перенаправление не есть тем же как Heartbleed, был опубликован поставщиком совокупностей обеспечения безопасности Symantec в сообщении в блоге 3 мая.
«Уязвимость Heartbleed могла быть использована лишь, выпустив запросы к неисправленным серверам», заявил Symantec. «Тайное перенаправление, но, требует, дабы атакующий отыскал чувствительное приложение, и взял полномочия и взаимодействие от пользователей».Это – громадная отличие.
Идя ход вперед, это – кроме этого неприятность, против которой кое-какие провайдеры OAuth и OpenID уже рекомендовали пользователям предпринимать простые шаги конфигурации в течение многих месяцев. 13 марта LinkedIN опубликовал сообщение в блоге, рекомендуя пользователям подобающим образом зарегистрировать адреса перенаправления OAuth для предотвращения любого вида несанкционированного перенаправления.С Hearthbleed не было никакого предупреждения, руководств по практике без лучшего для никакой зоны и реализации безопасности.
Поиски следующего Heartbleed имеют большое количество смысла. исследователь и Каждый поставщик желают отыскать следующую громадную вещь и быть выявленными за то открытие. Очевидный факт вопроса, недостатки Heartbleed-типа просто не происходят ежедневно, либо кроме того ежегодно. Это – то, что делает Heartbleed редкой породой.
Защита в Интернете в целом имеет собственную хорошую долю не сильный мест, но громадные распространяющиеся неприятности, с критическим влиянием как Heartbleed являются, к счастью, немногими и на большом растоянии между.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.