zartosht
May 5th, 2014, 15:33
هنوز زمان زیادی از مشکل امنیتی موجود در openssl -خونریزی قلبی (http://blog.iranserver.com/ssl-heartbleed-bug/)- نمیگذرد و همچنان کاربران در حال بروز رسانی و رفع مشکلات ایجاد شده توسط این حفره هستند که شاهد بروز مشکل امنیتی دیگری بر روی پروتکل OAuth2 و ماژول OpenID هستیم. پروتکل OAuth در سایتهایی نظیر گوگل، فیسبوک، لینکداین، یاهو، و بسیاری از سایتهای بزرگ دیگر استفاده شدهاست.
http://blog.iranserver.com/wp-content/uploads/2014/05/covertredirect.jpg
لیست سایتهایی که از پروتکل OAuth استفاده میکنند (http://en.wikipedia.org/wiki/OAuth) را میتوانید از لینک OAuth - Wikipedia, the free encyclopedia (http://en.wikipedia.org/wiki/OAuth) مشاهده نمایید.
پروتکل OAuth: پروتکلی است که برای متصل کردن ۲ یا جند حساب کاربری در سایتهای مختلف استفاده میشود. بهعنوان مثال میتوانید از سایتی مانند Linkedin.com (http://linkedin.com/) بدون ساخت حساب کاربری، بهوسیلهی حساب کاربری سایر سایتها مانند فیسبوک، گوگل و توئیتر که از OAuth2 و ماژول OpenID استفاده میکنند، استفاده نمایید.
در این حالت ابتدا شما به سایتی که در آن حساب کاربری دارید Log in و پس از تعیین اعتبار به سایت لینکداین متصل خواهید شد.
حفرهی امنیتی جدیدی به نفوذگران امکان میدهد که با استفاده از تکنیکهای phishing در زمان درخواست نام کاربری و رمز عبور، اطلاعات کاربری شما را سرقت و از آن سوء استفاده نمایند.
برای جلوگیری از سرقت اطلاعات و با توجه به عدم ارائه راهحل معتبر تا کنون، توصیه ما به شما این است که تا اطلاع ثانوی و رفع مشکل امنیتی از OpenID جهت ورود به سایتها استفاده نکنید.
منبع :
http://blog.iranserver.com/oauth2-openid-bug-heartble2/
http://blog.iranserver.com/wp-content/uploads/2014/05/covertredirect.jpg
لیست سایتهایی که از پروتکل OAuth استفاده میکنند (http://en.wikipedia.org/wiki/OAuth) را میتوانید از لینک OAuth - Wikipedia, the free encyclopedia (http://en.wikipedia.org/wiki/OAuth) مشاهده نمایید.
پروتکل OAuth: پروتکلی است که برای متصل کردن ۲ یا جند حساب کاربری در سایتهای مختلف استفاده میشود. بهعنوان مثال میتوانید از سایتی مانند Linkedin.com (http://linkedin.com/) بدون ساخت حساب کاربری، بهوسیلهی حساب کاربری سایر سایتها مانند فیسبوک، گوگل و توئیتر که از OAuth2 و ماژول OpenID استفاده میکنند، استفاده نمایید.
در این حالت ابتدا شما به سایتی که در آن حساب کاربری دارید Log in و پس از تعیین اعتبار به سایت لینکداین متصل خواهید شد.
حفرهی امنیتی جدیدی به نفوذگران امکان میدهد که با استفاده از تکنیکهای phishing در زمان درخواست نام کاربری و رمز عبور، اطلاعات کاربری شما را سرقت و از آن سوء استفاده نمایند.
برای جلوگیری از سرقت اطلاعات و با توجه به عدم ارائه راهحل معتبر تا کنون، توصیه ما به شما این است که تا اطلاع ثانوی و رفع مشکل امنیتی از OpenID جهت ورود به سایتها استفاده نکنید.
منبع :
http://blog.iranserver.com/oauth2-openid-bug-heartble2/