Kritisches Problem in OAuth

OAuth-Provider schalten OAuth vorübergehend ab. Das unter anderem von Google, Yahoo und Twitter genutzte OAuth-Protokoll hat eine kritische Sicherheitslücke, die nur durch eine Änderung des Protokolls beseitigt werden kann. Unter anderem Yahoo und Twitter haben aus Sicherheitsgründen ihre OAuth-Unterstützung vorerst deaktiviert.

23. April 2009 um 12:59 Uhr / Jens Ihlenfeld

8 Kommentare News folgen (öffnet im neuen Fenster)

Die Sicherheitslücke in OAuth ( OAuth Security Advisory 2009.1(öffnet im neuen Fenster) ) betrifft alle standardkonformen Implementierungen des Protokolls OAuth Core 1.0, die den sogenannten OAuth-Authorization-Flow unterstützen. Loggen sich Angreifer mit ihrem Account bei einer OAuth-Website ein, können sie das dabei übergebene Request-Token nutzen, um es anderen Nutzern unterzuschieben und so an deren Account zu gelangen. Da die Opfer am Ende auf der korrekten Website landen, bleibt der Angriff vom Opfer unbemerkt.

Es habe in den vergangenen Tagen keine bekannten Fälle gegeben, in denen die Sicherheitslücke ausgenutzt wurde, heißt es von Seiten des OAuth-Projekts. OAuth-Providern wird nahegelegt, entsprechende Überwachungsfunktionen zu installieren. Zudem sollen sie ihre Nutzer auf die Risiken hinweisen, wenn eine Autorisierung von einer nicht vertrauenswürdigen Location aus gestartet wird.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: Barrierefreiheit – BFSG, WCAG & Co: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Failover Clustering mit Windows Server 2022 (E-Learning)

zum Kurs

Eine wirkliche Lösung des Problems ist nur durch eine Änderung des OAuth-Protokolls möglich, an der derzeit gearbeitet wird.

Zur Startseite 8 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Sign-in with Twitter nutzt OAuth

Authentifizierungsdienst in Konkurrenz zu Facebook Connect. Twitter erweitert sein API um "Sign-in with Twitter", so dass sich Nutzer an anderen Websites, Diensten oder Applikationen mit einem Twitter-Account anmelden können. Der Dienst konkurriert mit Facebook Connect, setzt aber auf OAuth ohne proprietäre Erweiterungen.

Google unterstützt Hybrid-Protokoll

OpenID und OAuth vereint. Google erweitert seine OpenID-Unterstützung und verbindet sie mit OAuth. Mit diesem sogenannten Hybrid-Protokoll können sich Nutzer an OpenID-fähigen Websites mit ihrem Google-Account anmelden. Die Websites können über OAuht die bei Google gespeicherten Daten der Nutzer abfragen.

Relevante Themen