Обнаружена Уязвимость на сайтах с OpenID

Наталья Авдеева 10 Мая 2011 - 21:43

...

Исследователи в области безопасности обнаружили сбой в системе аутентификации на некоторых сайтах, использующих систему OpenID, который мог привести к краже личности.

Слабое место в системе безопасности связано с ошибкой в процессе подтверждения подлинности при двустороннем обмене информацией, расширения функциональных возможностей в системе OpenID, которая дает сайтам возможность обмена информацией между конечными пунктами. Ошибка заключалась в том, что в некоторых случаях не осуществлялась проверка подлинности информации, таким образом, хакеры могли получить доступ к информации и изменить ее.

В OpenID не уточнили на каких именно сайтах обнаружилась данная уязвимость. Главным образом, она затронула приложения, в которых используются Java библиотеки OpenID4Java и Kay Framework. Согласно источнику обе библиотеки были исправлены. Заметим, что в библиотеках Janrain, Ping Identity и DotNetOpenAuth уязвимостей не обнаружено.

Несмотря на то, что, не известно воспользовались ли хакеры ошибкой, представители OpenID посоветовали установить на сайтах новую версию Java приложения или обновить имеющуюся.

Следует отметить, что OpenID- это, своего рода, попытка установить общедоступную единую систему в сети. Пользователи, которые регистрируются на сайтах, поддерживающих эту систему (Google, Yahoo, WordPress, MySpace и др.), могут использовать свои данные для доступа к любому из участвующих интернет сервисов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 09 Июня 2025 - 14:30

MultiDirectory Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов «МУЛЬТИФАКТОР»

MULTIDIRECTORY Enterprise включили в реестр отечественного ПО

Компания «МУЛЬТИФАКТОР» сообщила, что Министерство цифрового развития РФ включило платную версию продукта MULTIDIRECTORY в реестр российского программного обеспечения под номером 28333.

MULTIDIRECTORY — это российская служба каталогов с открытым исходным кодом. У решения есть бесплатная Community-версия и платная Enterprise-редакция с расширенным функционалом и поддержкой.

Продукт создавался как альтернатива Active Directory и ориентирован на компании, которым важно использовать отечественные инструменты для администрирования ИТ-инфраструктуры.

По словам разработчиков, в Enterprise-версии предусмотрено централизованное управление данными о пользователях, группах и устройствах, а также настройка прав доступа внутри корпоративной сети.

Включение в реестр подтверждает соответствие программного обеспечения требованиям российского законодательства.

Также отмечается, что развитие продукта продолжается, и до конца года в него планируется добавить новые функции.