Abo
  • Services:

Kritisches Problem in OAuth

OAuth-Provider schalten OAuth vorübergehend ab

Das unter anderem von Google, Yahoo und Twitter genutzte OAuth-Protokoll hat eine kritische Sicherheitslücke, die nur durch eine Änderung des Protokolls beseitigt werden kann. Unter anderem Yahoo und Twitter haben aus Sicherheitsgründen ihre OAuth-Unterstützung vorerst deaktiviert.

Artikel veröffentlicht am ,

Die Sicherheitslücke in OAuth (OAuth Security Advisory 2009.1) betrifft alle standardkonformen Implementierungen des Protokolls OAuth Core 1.0, die den sogenannten OAuth-Authorization-Flow unterstützen. Loggen sich Angreifer mit ihrem Account bei einer OAuth-Website ein, können sie das dabei übergebene Request-Token nutzen, um es anderen Nutzern unterzuschieben und so an deren Account zu gelangen. Da die Opfer am Ende auf der korrekten Website landen, bleibt der Angriff vom Opfer unbemerkt.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Es habe in den vergangenen Tagen keine bekannten Fälle gegeben, in denen die Sicherheitslücke ausgenutzt wurde, heißt es von Seiten des OAuth-Projekts. OAuth-Providern wird nahegelegt, entsprechende Überwachungsfunktionen zu installieren. Zudem sollen sie ihre Nutzer auf die Risiken hinweisen, wenn eine Autorisierung von einer nicht vertrauenswürdigen Location aus gestartet wird.

Eine wirkliche Lösung des Problems ist nur durch eine Änderung des OAuth-Protokolls möglich, an der derzeit gearbeitet wird.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Pixelfreak 23. Apr 2009

Die Schwachstelle ist - zumindest in ähnlicher Form - schon länger bekannt: http://blog...


Folgen Sie uns
       


Playstation Classic im Vergleichstest - Golem retro_ Spezial

Sonys Mini-Konsole Playstation Classic ist knuffig. In unserem Golem-retro_-Spezial beleuchten wir die Spieleauswahl und Hardware im Detail.

Playstation Classic im Vergleichstest - Golem retro_ Spezial Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /