ναι αλλα πολλές φορες επειδη δεν θελουμε να ξαναδωσουμε ολα τα στοιχεία μας στο http://eimai_anasfales.site . επειλεγουμε την ταυτοποιηση μεσω γοογλ ή αλλης υπηρεσιας εχοντας την πεποίθηση οτι τα στοιχεία μας ειναι ασφαλή
Εμφάνιση 16-19 από 19
-
05-05-14, 15:12 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #16
-
05-05-14, 15:48 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #17
-
05-05-14, 21:24 Re: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #18
ασχολούμαι επαγγελματικό με τα πρωτόκολλα του WS-Federation και WS-Trust που γενικά μοιάζουν με το OAuth στην σύλληψη αλλές με κάποιες ουσιαστικά διαφορές.
Το WS-Federation αφορά κυρίως intranet και b2b. Προς το παρών δεν έχω εκβαθύνει στο oauth και openid γιαυτό και θέλω να επαληθεύσω τι κατάλαβααν και θα το κάνω λίγο τεχνικό.
Ο evil.com κακός web application, μπορεί να με το παραπάνω να λάβει το token από τον facebook.com το οποίο νομίζει ότι με κάνει authenticate για το good.com
Στο WS-Federation αυτή η παράμετρος λέγεται replyto και συγκεκριμένα προϊόντα όπως το ADFS απογορεύουν την χρήση του ή αγνοεί την τιμή του για αποφυγή αυτού του προβλήματος.
Επίσης υπάρχει και η παράμετρος το Security Token Service (STS) που ουσιαστικά είναι κάτι σαν την εκάστοτε facebook, google.... να κάνει encrypt το token με certificate που μόνο ο good.com γνωρίζει.
Δηλαδή απογορεύεται από το STS οποιαδήποτε redirect σε κάτι που δεν είναι configured στο λεγόμενο relying party και επίσης και στραβή να γίνει (εύκολα μέσω fiddler για παράδειγμα) και το token φτάσει στον evil.com αυτό δεν μπορεί να το δει γιατί δεν έχει το certificate. Το relying party ουσιαστικά αποτελεί την συμφωνία μεταξύ STS και good.com
Αντίστοιχα με το WS-Federation νομίζω τα ίδια κάνει και το SAML-P. Το πρωτόκολλο προβλέπει ότι μπορεί κάποιος να κάνει τα παραπάνω κόλπα, αλλά κάποια προϊόντα ή απλά αγνούν την τιμή ή απλά σου δίνουν την επιλογή.
Αν καταλαβαίνω καλά μου κάνει τρομερή εντύπωση το μέγεθος της πατάτας να πω την αλήθεια, καθώς στον intranet κόσμο αυτά έχουν προβλεθεί και μου κάνει τρομερή εντύπωση που δεν έχουν προβλεθεί στο internet.
-
05-05-14, 22:11 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #19
προβληματάκια;
Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
Παρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04 -
Με έκτακτη αναβάθμιση που καλύπτει και τα Windows XP η Microsoft κλείνει το σοβαρό κενό ασφαλείας του Internet Explorer
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 38Τελευταίο Μήνυμα: 26-05-14, 23:44 -
Νέο κενό ασφαλείας σχετιζόμενο με την γεννήτρια τυχαίων αριθμών του Early Random PRNG εντοπίζεται στο iOS 7
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 26Τελευταίο Μήνυμα: 21-03-14, 12:32 -
USB 2.0 και USB 3.0
Από HugeG στο φόρουμ Hardware ΓενικάΜηνύματα: 4Τελευταίο Μήνυμα: 14-12-13, 03:53 -
Η Google κλείνει ένα πολύ σοβαρό κενό ασφαλείας του Gmail password recovery
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 19Τελευταίο Μήνυμα: 02-12-13, 16:52
Bookmarks