Vulnerabilidad en OAuth y OpenID

en Noticias de Hardware y Electronica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Hardware y Electronica
Noticias de Hardware y Electronica Noticias de Hardware y Electronica Nuevos aparatos electronicos, nuevos inventos, todo lo relacionado con hardware y equipos tecnologicos.

Vulnerabilidad en OAuth y OpenID

Compartir

Los investigadores Nate Lawson y Taylor Nelson han descubierto una vulnerabilidad en los protocolos de identificación de OAuth y OpenID, que permite iniciar sesión sin la intervención del usuario propietario de la cuenta. El problema es grave, ya que afecta a todos los sitios web que permitan la autentificación con Oauth u OpenID.

La técnica realizada se basa en el tiempo en el que el servidor invalida un password incorrecto, es decir el servidor envía el error cuando se encuentra el primer carácter que no coincide con el password correcto, por lo que se pueden enviar series de cadenas en función de la duración de los errores devueltos para intentar dar con la cadena correcta, esa sería la técnica a grandes rasgos.

Aunque para el tiempo de respuesta influyen otros parámetros, los creadores del ataque aseguran que tuvieron éxito en distintos entornos. Por el momento, los propietarios de los sitios webs afectados han sido avisados para que introduzcan cambios en la validación del password con el fin de inmunizarse con este ataque.

Fuente: Noticias 3D
Compartir
  #1  
Creado: 21-Jul-2010, a las 11:58 Vistas: 503
Categoria: Noticias de Hardware y Electronica
Creado por: brochetas brochetas está desconectado (20-April-2010 | Colombia | 17.205 Mensajes.)
Respuesta

Etiquetas
oauth, openid, vulnerabilidad


Temas Similares
» OpenID: Google, a un paso de ser proveedor de identificación 0
» Yahoo! implementará OpenID 0
» Vulnerabilidad en JAR: en navegadores de Mozilla 0
» Vulnerabilidad en autenticación no encriptada 0
» Vulnerabilidad Zero-day en servidores DNS vía RPC 0
» Tercera vulnerabilidad Zero-day en Word (12/12/06) 0
» Vulnerabilidad en Firefox 1.5.0.3 (img=src) 0
» Vulnerabilidad en comunicaciones DDE-IPC de ZoneAlarm 0
» Vulnerabilidad en IE y MSN Messenger (ICC Profile) 0
» Vulnerabilidad XSS en Opera 8.0 y anteriores 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 22:54.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4