Abo
  • Services:

Kritisches Problem in OAuth

OAuth-Provider schalten OAuth vorübergehend ab

Das unter anderem von Google, Yahoo und Twitter genutzte OAuth-Protokoll hat eine kritische Sicherheitslücke, die nur durch eine Änderung des Protokolls beseitigt werden kann. Unter anderem Yahoo und Twitter haben aus Sicherheitsgründen ihre OAuth-Unterstützung vorerst deaktiviert.

Artikel veröffentlicht am ,

Die Sicherheitslücke in OAuth (OAuth Security Advisory 2009.1) betrifft alle standardkonformen Implementierungen des Protokolls OAuth Core 1.0, die den sogenannten OAuth-Authorization-Flow unterstützen. Loggen sich Angreifer mit ihrem Account bei einer OAuth-Website ein, können sie das dabei übergebene Request-Token nutzen, um es anderen Nutzern unterzuschieben und so an deren Account zu gelangen. Da die Opfer am Ende auf der korrekten Website landen, bleibt der Angriff vom Opfer unbemerkt.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. TE Connectivity Germany GmbH, Feuchtwangen

Es habe in den vergangenen Tagen keine bekannten Fälle gegeben, in denen die Sicherheitslücke ausgenutzt wurde, heißt es von Seiten des OAuth-Projekts. OAuth-Providern wird nahegelegt, entsprechende Überwachungsfunktionen zu installieren. Zudem sollen sie ihre Nutzer auf die Risiken hinweisen, wenn eine Autorisierung von einer nicht vertrauenswürdigen Location aus gestartet wird.

Eine wirkliche Lösung des Problems ist nur durch eine Änderung des OAuth-Protokolls möglich, an der derzeit gearbeitet wird.



Anzeige
Blu-ray-Angebote
  1. 7,99€ inkl. FSK-18-Versand
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (nur für Prime-Mitglieder)

Pixelfreak 23. Apr 2009

Die Schwachstelle ist - zumindest in ähnlicher Form - schon länger bekannt: http://blog...


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  2. Battlefield 5 Schatzkisten und Systemanforderungen
  3. Battlefield 5 Zweiter Weltkrieg mit Sprengkraft

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

    •  /