漏洞警告：某些 OpenID 2.0 实现包含安全隐患

OpenID 官方组织发布漏洞警告：目前存在某些 OpenID 2.0 认证实现由于不遵守 OpenID Authentication 2.0 规范导致存在了安全漏洞隐患。漏洞的本质：在 OpenID 2.0 规范中的 11.4.2.1 部分中描述了：“必须在私有关联上对 OP 进行签名验证，一定不能在共享关联上验证。” 而一些 OpenID 实现没有区分私有关联和共享关联的差别，直接在共享关联上执行签名验证。漏洞的影响：通过精心制作的建立在共享关联上的签名可以让任何依赖方（RP）通过共享关联到一个存在漏洞的 OP 上。这也使得攻击者可以方便的登录到 RP 上。如何检查是否存在此漏洞：可通过下面这个网站来验证：
http://test-id.org/OP/CheckAuthSharedSecret.aspx希望这份通知能引起社区的注意。Don Thibeau
OpenID 基金会执行董事ISC BIND 9 SRTT算法授权服务器选择安全漏洞Linux gcc++漏洞：普通用户获得root权限相关资讯 OpenID OpenID漏洞

新的 OpenID 基金会的董事会领导（02月10日）
OAuth及OpenID隐蔽重定向漏洞（05/10/2014 14:40:43）
PHP OpenID XML外部实体注入漏洞（（08/23/2013 18:35:25）

Google 将在4月20日关闭 OpenID 2. （01/04/2015 08:22:15）
OAuth与OpenID登录工具曝出重大漏（05/03/2014 20:20:43）
Mozilla提出OpenID的替代BrowserID （01/22/2012 18:37:14）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论