ЛИТОЛОГОС-ОНРУС - BSC: — http://litologos-onrus.blogspot.com/

ЛИТОЛОГОС-ОНРУС-ОМДЖПИНЕТ - BSC: Литературный стамугос-блогосферник Участников Проекта `ОуЭмДжиПи-нет` - блогосферник, включающий в себя ВСЕ литературные произведения и записи стамугос-авторов `Омджпинета` (Omjpinet).

| Напечатать | Гпонль бета-вер. 0.95 от 07 июля 2011 г. UnclesLover на www.omgp-net.com, 2004—2011

ВСЕ РАЗДЕЛЫ ЛИТЕРАТУРНОГО СТАМУГОС-БЛОГА

Постоянные читатели

ПОСЛЕДНИЕ ОБЪЯВЛЕНИЯ ГОЭМДЖИПА - ЧИТАТЬ, КОММЕНТИРОВАТЬ И ДОБАВИТЬ СВОЁ ОБЪЯВЛЕНИЕ!

вторник, 17 марта 2009 г.

ОДХО-нет сообщает: Обнаружена дыра в OpenID при фейк-авторизации из Feed Reader

Программы чтения новостей, типа Фид-Ридера, небезопасны!

Очередная дыра при пользовании новыми системами авторизации, типа OpenID, обнаружена мной. Подробнее читать эту новость в сообществе ОДХО-нета - Обнаружена дыра в OpenID при фейк-авторизации из Feed Reader.
Источник сообщения: http://alpha-starlords.livejournal.com/13972.html


Обнаружена дыра в OpenID при фейк-авторизации из Feed Reader

Сегодня мы с Кэппсом обнаружили пострясающую дыру в Фид-Ридере при лже-авторизации OpenID.

Оказывается, если зайти на любой сайт, поддерживающий систему авторизации OpenID, и ввести ложный OpenID, то система выдаст страницу ошибки, направив пользователя на переавторизацию, чтоб верифицировать этот OpenID как реальный.

Но вот страница, куда должен заново ввести пользователь свои данные не показывает юарэля в интерфейсе Фид-Ридера. А это значит, что недобросовестный уэбмастер, создав простенький скрипт, может овладеть вашим логин-паролем с ЖЖ.


Я не буду публиковать код этого скрипта, чтоб не началось повальное взламывание аккаунтов ЖЖ и всех ресурсов, использующих OpenID, как способ авторизации.

Пусть эту дыру залатывают программисты ЖЖ и Фид-Ридера, если они не хотят, чтоб из-за этой дыры пользователи оказались со взломанными аакаунтами.

Не знаю, кто как, но я больше услугами авторизации пользоваться в Фид-Ридере и подобных программах, не буду.

Самое страшное, что этот скрипт, не только захватит ваши данные, но и закачает куки-файл, который откроет любой браузер по умолчанию и перенаправит на спецсайт с трояном-даунлоудером. Это - более ужасное последствие этой дыры.

Источник сообщения: http://community.livejournal.com/odhonet_team/6400.html

Комментариев нет: