форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+/–
Сообщение от opennews (ok) on 02-Окт-13, 23:38
В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../) уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID  для подтверждения валидности пользователя.  Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID. Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a.../) в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи. Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию. Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле  "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью. URL: https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=38061
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. ":("	+2 +/–
Сообщение от aes.ultimum (ok) on 02-Окт-13, 23:38
Неплохо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. ":("	+/–
	Сообщение от AnonuS on 04-Окт-13, 02:59
	Элегантно, даже.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+2 +/–
Сообщение от someone (??) on 03-Окт-13, 00:16
Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в сервисах и либах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	–1 +/–
	Сообщение от Аноним (??) on 03-Окт-13, 00:41
	> Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email Это точно проблема кривых валидаторов?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	15. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+1 +/–
	Сообщение от AnonuS on 04-Окт-13, 03:00
	> Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в > сервисах и либах. А кого это по большому счёту чешет ? Мозилка сервис свой не обезопасила как следует, ну, теперь-то у них глаза откроются, придумают чего-нибудь.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	–5 +/–
Сообщение от ILYA INDIGO (ok) on 03-Окт-13, 00:50
Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет их менять, или подсунет тему с рекламой :)) ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной темой, по крайней мере у меня с qtcurve, эту перделку, не то что можно, а нужно давно было выкинуть!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+2 +/–
	Сообщение от TDYK (ok) on 03-Окт-13, 01:14
	А при чём тут темы? Речь об авторизации на сайтах же.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+/–
	Сообщение от ILYA INDIGO (ok) on 03-Окт-13, 01:25
	http://en.wikipedia.org/wiki/Firefox_Background_Themes А этот костыль называется Personas. При этом я помню, что там нужно было создавать аккаунт и авторизироваться и я подумал что это про него. Тогда беру свои слова про серьёзность уязвимости назад.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+/–
	Сообщение от Аноним (??) on 03-Окт-13, 07:41
	Дети Индиго... они такие
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	6. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+5 +/–
	Сообщение от Алексей (??) on 03-Окт-13, 01:21
	Бывшие «Personas» теперь называются «темами», а «Persona» — это бывший «BrowserID».
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+1 +/–
	Сообщение от ILYA INDIGO (ok) on 03-Окт-13, 01:26
	> Бывшие «Personas» теперь называются «темами», а «Persona» > — это бывший «BrowserID». Спасибо, не знал.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	–6 +/–
	Сообщение от Аноним (??) on 03-Окт-13, 11:12
	Лох!
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	–1 +/–
	Сообщение от Аноним (??) on 03-Окт-13, 13:32
	Это судьба
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+/–
	Сообщение от AnonuS on 04-Окт-13, 03:05
	> Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет > их менять, или подсунет тему с рекламой :)) > ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной > темой, по крайней мере у меня с qtcurve, эту перделку, не > то что можно, а нужно давно было выкинуть! Илюха, ты блин такой жуткий экстремист: "перделку", "выкинуть!" Напиши им письмо, мол так и так, я Илюха с Опеннета, требую немедленно все "перделки" выкинуть, ибо не согласен я. О результатах потом нам поведаешь. А вдруг они и в самом деле пойдут тебе на встречу и таки повыкинут их.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+/–
Сообщение от rshadow (ok) on 03-Окт-13, 13:12
мда, студенческая поделка, сразу видно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."	+1 +/–
Сообщение от Аноним (??) on 03-Окт-13, 13:30
Нормальный человек, если попадет в сервис с чужого аккаунта, сразу перелогинится
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема