حفرهی امنیتی مهم OAuth2 و ماژول OpenID مشابه با heartbleed
هنوز زمان زیادی از مشکل امنیتی موجود در openssl -خونریزی قلبی- نمیگذرد و همچنان کاربران در حال بروز رسانی و رفع مشکلات ایجاد شده توسط این حفره هستند که شاهد بروز مشکل امنیتی دیگری بر روی پروتکل OAuth2 و ماژول OpenID هستیم. پروتکل OAuth در سایتهایی نظیر گوگل، فیسبوک، لینکداین، یاهو، و بسیاری از سایتهای بزرگ دیگر استفاده شدهاست.
لیست سایتهایی که از پروتکل OAuth استفاده میکنند را میتوانید از لینک OAuth - Wikipedia, the free encyclopedia مشاهده نمایید.
پروتکل OAuth: پروتکلی است که برای متصل کردن ۲ یا جند حساب کاربری در سایتهای مختلف استفاده میشود. بهعنوان مثال میتوانید از سایتی مانند Linkedin.com بدون ساخت حساب کاربری، بهوسیلهی حساب کاربری سایر سایتها مانند فیسبوک، گوگل و توئیتر که از OAuth2 و ماژول OpenID استفاده میکنند، استفاده نمایید.
در این حالت ابتدا شما به سایتی که در آن حساب کاربری دارید Log in و پس از تعیین اعتبار به سایت لینکداین متصل خواهید شد.
حفرهی امنیتی جدیدی به نفوذگران امکان میدهد که با استفاده از تکنیکهای phishing در زمان درخواست نام کاربری و رمز عبور، اطلاعات کاربری شما را سرقت و از آن سوء استفاده نمایند.
برای جلوگیری از سرقت اطلاعات و با توجه به عدم ارائه راهحل معتبر تا کنون، توصیه ما به شما این است که تا اطلاع ثانوی و رفع مشکل امنیتی از OpenID جهت ورود به سایتها استفاده نکنید.
منبع :
http://blog.iranserver.com/oauth2-openid-bug-heartble2/
پاسخ با نقل قول