URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 91976
[ Назад ]

Исходное сообщение
"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено opennews , 02-Окт-13 23:38

В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../) уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID.
Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a.../) в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи.

Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию.

Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью.
URL: https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../
Новость: http://www.opennet.me/opennews/art.shtml?num=38061

Содержание

:(,aes.ultimum, 23:38 , 02-Окт-13
- :(,AnonuS, 02:59 , 04-Окт-13
В сервисе аутентификации Mozilla Persona выявлены проблемы с...,someone, 00:16 , 03-Окт-13
- В сервисе аутентификации Mozilla Persona выявлены проблемы с...,Аноним, 00:41 , 03-Окт-13
- В сервисе аутентификации Mozilla Persona выявлены проблемы с...,AnonuS, 03:00 , 04-Окт-13
В сервисе аутентификации Mozilla Persona выявлены проблемы с...,ILYA INDIGO, 00:50 , 03-Окт-13
- В сервисе аутентификации Mozilla Persona выявлены проблемы с...,TDYK, 01:14 , 03-Окт-13
  - В сервисе аутентификации Mozilla Persona выявлены проблемы с...,ILYA INDIGO, 01:25 , 03-Окт-13
  - В сервисе аутентификации Mozilla Persona выявлены проблемы с...,Аноним, 07:41 , 03-Окт-13
- В сервисе аутентификации Mozilla Persona выявлены проблемы с...,Алексей, 01:21 , 03-Окт-13
  - В сервисе аутентификации Mozilla Persona выявлены проблемы с...,ILYA INDIGO, 01:26 , 03-Окт-13
    - В сервисе аутентификации Mozilla Persona выявлены проблемы с...,Аноним, 11:12 , 03-Окт-13
      - В сервисе аутентификации Mozilla Persona выявлены проблемы с...,Аноним, 13:32 , 03-Окт-13
- В сервисе аутентификации Mozilla Persona выявлены проблемы с...,AnonuS, 03:05 , 04-Окт-13
В сервисе аутентификации Mozilla Persona выявлены проблемы с...,rshadow, 13:12 , 03-Окт-13
В сервисе аутентификации Mozilla Persona выявлены проблемы с...,Аноним, 13:30 , 03-Окт-13

Сообщения в этом обсуждении

":("
Отправлено aes.ultimum , 02-Окт-13 23:38

Неплохо.

":("
Отправлено AnonuS , 04-Окт-13 02:59

Элегантно, даже.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено someone , 03-Окт-13 00:16

Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в сервисах и либах.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено Аноним , 03-Окт-13 00:41

> Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email
Это точно проблема кривых валидаторов?

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено AnonuS , 04-Окт-13 03:00

> Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в
> сервисах и либах.
А кого это по большому счёту чешет ? Мозилка сервис свой не обезопасила как следует, ну, теперь-то у них глаза откроются, придумают чего-нибудь.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено ILYA INDIGO , 03-Окт-13 00:50

Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет их менять, или подсунет тему с рекламой :))
ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной темой, по крайней мере у меня с qtcurve, эту перделку, не то что можно, а нужно давно было выкинуть!

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено TDYK , 03-Окт-13 01:14

А при чём тут темы? Речь об авторизации на сайтах же.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено ILYA INDIGO , 03-Окт-13 01:25

http://en.wikipedia.org/wiki/Firefox_Background_Themes
А этот костыль называется Personas. При этом я помню, что там нужно было создавать аккаунт и авторизироваться и я подумал что это про него.
Тогда беру свои слова про серьёзность уязвимости назад.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено Аноним , 03-Окт-13 07:41

Дети Индиго... они такие

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено Алексей , 03-Окт-13 01:21

Бывшие «Personas» теперь называются «темами», а «Persona» — это бывший «BrowserID».

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено ILYA INDIGO , 03-Окт-13 01:26

> Бывшие «Personas» теперь называются «темами», а «Persona»
> — это бывший «BrowserID».
Спасибо, не знал.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено Аноним , 03-Окт-13 11:12

Лох!

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено Аноним , 03-Окт-13 13:32

Это судьба

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено AnonuS , 04-Окт-13 03:05

> Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет
> их менять, или подсунет тему с рекламой :))
> ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной
> темой, по крайней мере у меня с qtcurve, эту перделку, не
> то что можно, а нужно давно было выкинуть!
Илюха, ты блин такой жуткий экстремист: "перделку", "выкинуть!"
Напиши им письмо, мол так и так, я Илюха с Опеннета, требую немедленно все "перделки" выкинуть, ибо не согласен я. О результатах потом нам поведаешь. А вдруг они и в самом деле пойдут тебе на встречу и таки повыкинут их.

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено rshadow , 03-Окт-13 13:12

мда, студенческая поделка, сразу видно

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено Аноним , 03-Окт-13 13:30

Нормальный человек, если попадет в сервис с чужого аккаунта, сразу перелогинится