• IT-Karriere:
  • Services:

Kritisches Problem in OAuth

OAuth-Provider schalten OAuth vorübergehend ab

Das unter anderem von Google, Yahoo und Twitter genutzte OAuth-Protokoll hat eine kritische Sicherheitslücke, die nur durch eine Änderung des Protokolls beseitigt werden kann. Unter anderem Yahoo und Twitter haben aus Sicherheitsgründen ihre OAuth-Unterstützung vorerst deaktiviert.

Artikel veröffentlicht am ,

Die Sicherheitslücke in OAuth (OAuth Security Advisory 2009.1) betrifft alle standardkonformen Implementierungen des Protokolls OAuth Core 1.0, die den sogenannten OAuth-Authorization-Flow unterstützen. Loggen sich Angreifer mit ihrem Account bei einer OAuth-Website ein, können sie das dabei übergebene Request-Token nutzen, um es anderen Nutzern unterzuschieben und so an deren Account zu gelangen. Da die Opfer am Ende auf der korrekten Website landen, bleibt der Angriff vom Opfer unbemerkt.

Stellenmarkt
  1. PHOENIX Pharmahandel GmbH & Co KG, Mannheim, Fürth
  2. Fachhochschule Aachen, Jülich

Es habe in den vergangenen Tagen keine bekannten Fälle gegeben, in denen die Sicherheitslücke ausgenutzt wurde, heißt es von Seiten des OAuth-Projekts. OAuth-Providern wird nahegelegt, entsprechende Überwachungsfunktionen zu installieren. Zudem sollen sie ihre Nutzer auf die Risiken hinweisen, wenn eine Autorisierung von einer nicht vertrauenswürdigen Location aus gestartet wird.

Eine wirkliche Lösung des Problems ist nur durch eine Änderung des OAuth-Protokolls möglich, an der derzeit gearbeitet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-78%) 7,99€
  2. 4,99€
  3. 29,99€
  4. (-63%) 11,00€

Pixelfreak 23. Apr 2009

Die Schwachstelle ist - zumindest in ähnlicher Form - schon länger bekannt: http://blog...


Folgen Sie uns
       


Apple TV Plus ausprobiert

Wir haben uns Apple TV+ auf einem Apple TV angeschaut. Apples eigener Abostreamingdienst lässt viele Komfortfunktionen vermissen.

Apple TV Plus ausprobiert Video aufrufen
Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Ryzen 9 3950X im Test: AMDs konkurrenzlose 16 Kerne
Ryzen 9 3950X im Test
AMDs konkurrenzlose 16 Kerne

Der Ryzen 9 3950X ist vorerst die Krönung für den Sockel AM4: Die CPU rechnet schneller als alle anderen Mittelklasse-Chips, selbst Intels deutlich teurere Modelle mit 18 Kernen überholt das AMD-Modell locker.
Ein Test von Marc Sauter

  1. Zen-CPUs AMD nennt konkrete Termine für Ryzen 3950X und Threadripper
  2. Castle Peak AMDs Threadripper v3 sollen am 19. November erscheinen
  3. OEM & China AMD bringt Ryzen 3900 und Ryzen 3500X

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 baut auf Nahrung, Holz, Stein und Gold
  2. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

    •  /