The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +/
Сообщение от opennews (ok) on 02-Окт-13, 23:38 
В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../) уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID  для подтверждения валидности пользователя.  Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID.

Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a.../) в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи.


Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию.


Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле  "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью.

URL: https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=38061

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. ":("  +2 +/
Сообщение от aes.ultimum (ok) on 02-Окт-13, 23:38 
Неплохо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. ":("  +/
Сообщение от AnonuS on 04-Окт-13, 02:59 
Элегантно, даже.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +2 +/
Сообщение от someone (??) on 03-Окт-13, 00:16 
Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в сервисах и либах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  –1 +/
Сообщение от Аноним (??) on 03-Окт-13, 00:41 
> Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email

Это точно проблема кривых валидаторов?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +1 +/
Сообщение от AnonuS on 04-Окт-13, 03:00 
> Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в
> сервисах и либах.

А кого это по большому счёту чешет ? Мозилка сервис свой не обезопасила как следует, ну, теперь-то у них глаза откроются, придумают чего-нибудь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  –5 +/
Сообщение от ILYA INDIGO (ok) on 03-Окт-13, 00:50 
Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет их менять, или подсунет тему с рекламой :))
ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной темой, по крайней мере у меня с qtcurve, эту перделку, не то что можно, а нужно давно было выкинуть!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +2 +/
Сообщение от TDYK (ok) on 03-Окт-13, 01:14 
А при чём тут темы? Речь об авторизации на сайтах же.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +/
Сообщение от ILYA INDIGO (ok) on 03-Окт-13, 01:25 
http://en.wikipedia.org/wiki/Firefox_Background_Themes
А этот костыль называется Personas. При этом я помню, что там нужно было создавать аккаунт и авторизироваться и я подумал что это про него.
Тогда беру свои слова про серьёзность уязвимости назад.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +/
Сообщение от Аноним (??) on 03-Окт-13, 07:41 
Дети Индиго... они такие
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +5 +/
Сообщение от Алексей (??) on 03-Окт-13, 01:21 
Бывшие «Personas» теперь называются «темами», а «Persona» — это бывший «BrowserID».
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +1 +/
Сообщение от ILYA INDIGO (ok) on 03-Окт-13, 01:26 
> Бывшие «Personas» теперь называются «темами», а «Persona»
> — это бывший «BrowserID».

Спасибо, не знал.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  –6 +/
Сообщение от Аноним (??) on 03-Окт-13, 11:12 
Лох!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  –1 +/
Сообщение от Аноним (??) on 03-Окт-13, 13:32 
Это судьба
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +/
Сообщение от AnonuS on 04-Окт-13, 03:05 
> Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет
> их менять, или подсунет тему с рекламой :))
> ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной
> темой, по крайней мере у меня с qtcurve, эту перделку, не
> то что можно, а нужно давно было выкинуть!

Илюха, ты блин такой жуткий экстремист: "перделку", "выкинуть!"

Напиши им письмо, мол так и так, я Илюха с Опеннета, требую немедленно все "перделки" выкинуть, ибо не согласен я. О результатах потом нам поведаешь. А вдруг они и в самом деле пойдут тебе на встречу и таки повыкинут их.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +/
Сообщение от rshadow (ok) on 03-Окт-13, 13:12 
мда, студенческая поделка, сразу видно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В сервисе аутентификации Mozilla Persona выявлены проблемы с..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-13, 13:30 
Нормальный человек, если попадет в сервис с чужого аккаунта, сразу перелогинится
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру