Очередная дыра при пользовании новыми системами авторизации, типа OpenID, обнаружена мной. Подробнее читать эту новость в сообществе ОДХО-нета - Обнаружена дыра в OpenID при фейк-авторизации из Feed Reader.
Источник сообщения: http://alpha-starlords.livejournal.com/13972.html
Обнаружена дыра в OpenID при фейк-авторизации из Feed Reader Сегодня мы с Кэппсом обнаружили пострясающую дыру в Фид-Ридере при лже-авторизации OpenID. Оказывается, если зайти на любой сайт, поддерживающий систему авторизации OpenID, и ввести ложный OpenID, то система выдаст страницу ошибки, направив пользователя на переавторизацию, чтоб верифицировать этот OpenID как реальный. Но вот страница, куда должен заново ввести пользователь свои данные не показывает юарэля в интерфейсе Фид-Ридера. А это значит, что недобросовестный уэбмастер, создав простенький скрипт, может овладеть вашим логин-паролем с ЖЖ. Я не буду публиковать код этого скрипта, чтоб не началось повальное взламывание аккаунтов ЖЖ и всех ресурсов, использующих OpenID, как способ авторизации. Пусть эту дыру залатывают программисты ЖЖ и Фид-Ридера, если они не хотят, чтоб из-за этой дыры пользователи оказались со взломанными аакаунтами. Не знаю, кто как, но я больше услугами авторизации пользоваться в Фид-Ридере и подобных программах, не буду. Самое страшное, что этот скрипт, не только захватит ваши данные, но и закачает куки-файл, который откроет любой браузер по умолчанию и перенаправит на спецсайт с трояном-даунлоудером. Это - более ужасное последствие этой дыры. Источник сообщения: http://community.livejournal.com/odhonet_team/6400.html |
Комментариев нет:
Отправить комментарий