Найдена уязвимость в системах авторизации OpenID и OAuth

Александр Панасенко 20 Июля 2010 - 11:11

...

Независимые исследователи ИТ-безопасности Нейт Лоусон и Телор Нельсон из компании Root Labs говорят, что хорошо известная криптографическая атака может быть использована злоумышленниками для несанкционированного доступа к веб-приложениям, используемыми миллионами пользователей. Подробности о своей находке в ранее использованном методе исследователи обнародуют на конференции Black Hat.

По словам специалистов, обнаруженная ими уязвимость присутствует в десятках популярных открытых программных библиотек, в том числе и тех, что применяются для развертывания стандартов универсальной аутентификации OAuth и OpenID. Данные стандарты отвечают за проверку имен пользователей и паролей при заходе на те или иные сайты. OAuth и OpenID применяются в том числе и на таких сайтах, как Twitter или Digg.

Лоусон и Нельсон говорят, что их находка связана с тем, что некоторые из систем аутентификации связаны с тайминг-атакой. Криптографы знакомы с атакой данного типа уже на протяжении примерно 25 лет, однако в подавляющем большинстве случаев реализовать тайминг-атаку очень сложно на практике. Однако в случае с системами авторизации, этот как раз тот случай, когда тайминг можно применять и удаленно.

Удаленно использовать тайминг сложно, так как он требует очень сложных замеров, поясняют специалисты. Обычно взлом паролей происходит, после вычисления времени, необходимого компьютеру для того, чтобы ответить на попытку авторизации. В некоторых системах компьютер проверяет символы пароля и отправляет клиенту Login Failed сразу же после того, как была осуществлена проверка. Однако в случае тайминга, злоумышленник перехватывает попытку логина и "подсовывает" северу свои неправильные данные, забирая у пользователя его легитимную информацию. Сразу же после того, хакер возвращает северу подлинные данные и получает доступ.

В случае с открытыми системами аутентификации, многие их реализации оказались открытыми для подобного рода атак. Как сообщается, создан практический эксплоит для работы с описанной уязвимостью.

Источник

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 16:43

Домашние пользователи Корпорации Персональный VPN Анонимайзеры Mozilla

В Firefox VPN убрали лимит трафика до конца лета

Mozilla решила устроить пользователям Firefox небольшие летние каникулы без ограничений по трафику. Корпорация объявила, что до 31 августа снимает лимит трафика для встроенного VPN-сервиса Firefox VPN. Обычно пользователи получают 50 ГБ в месяц, для большинства задач этого хватает.

Но на ближайшие почти три месяца счётчик отключают полностью: качай, стримь и путешествуй по интернету без оглядки на лимиты.

Заодно Mozilla расширила список доступных локаций до 28 стран. В него вошли Австралия, Бельгия, Дания, Финляндия, Сингапур и ряд других государств.

Представители интернет-гиганта объясняют решение просто: летом люди чаще путешествуют, подключаются к публичным сетям Wi-Fi в аэропортах, гостиницах и кафе, а значит, нуждаются в дополнительной защите трафика.

VPN позволяет не только шифровать соединение, но и получать доступ к привычным сервисам из других стран. Кроме того, пользователи Firefox могут отключать VPN для отдельных сайтов, если те работают с ним некорректно.

Впрочем, есть нюанс. Безлимитный режим — акция временная. Уже с 1 сентября ограничения вернутся, и пользователи снова получат стандартные 50 ГБ в месяц.

Есть и ещё одно ограничение. Firefox VPN доступен далеко не во всех странах мира. Mozilla отдельно напоминает, что сервис работает только в поддерживаемых регионах, список которых опубликован на сайте компании.

На фоне постоянных разговоров о блокировках, ограничениях и борьбе с VPN новость выглядит почти необычно. Пока одни сервисы режут доступ и вводят лимиты, Mozilla делает ровно наоборот.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!