The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В сервисе аутентификации Mozilla Persona выявлены проблемы с безопасностью

02.10.2013 22:26

В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID.

Причина уязвимости кроется в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи.

Таким образом, атакующий может сформировать для OpenID цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию.

Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле "openid.foo.value.email: [email protected]". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: [email protected]", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Изменения в руководящем составе Mozilla Corp, удаление из Firefox тэга blink и обновление Persona
  3. OpenNews: Сервис Mozilla Persona перешёл на стадию бета-тестирования
  4. OpenNews: Анонсированы сервис идентификации Mozilla Persona и магазин web-приложений Mozilla Marketplace
  5. OpenNews: BrowserID - новый проект Mozilla по аутентификации пользователей на веб-сайтах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38061-persona
Ключевые слова: persona, auth, openid
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, aes.ultimum (ok), 23:38, 02/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Неплохо.
     
     
  • 2.14, AnonuS (?), 02:59, 04/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Элегантно, даже.
     

  • 1.2, someone (??), 00:16, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в сервисах и либах.
     
     
  • 2.3, Аноним (-), 00:41, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email

    Это точно проблема кривых валидаторов?

     
  • 2.15, AnonuS (?), 03:00, 04/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в
    > сервисах и либах.

    А кого это по большому счёту чешет ? Мозилка сервис свой не обезопасила как следует, ну, теперь-то у них глаза откроются, придумают чего-нибудь.

     

  • 1.4, ILYA INDIGO (ok), 00:50, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет их менять, или подсунет тему с рекламой :))
    ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной темой, по крайней мере у меня с qtcurve, эту перделку, не то что можно, а нужно давно было выкинуть!
     
     
  • 2.5, TDYK (ok), 01:14, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А при чём тут темы? Речь об авторизации на сайтах же.
     
     
  • 3.7, ILYA INDIGO (ok), 01:25, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://en.wikipedia.org/wiki/Firefox_Background_Themes
    А этот костыль называется Personas. При этом я помню, что там нужно было создавать аккаунт и авторизироваться и я подумал что это про него.
    Тогда беру свои слова про серьёзность уязвимости назад.
     
  • 3.9, Аноним (-), 07:41, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Дети Индиго... они такие
     
  • 2.6, Алексей (??), 01:21, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Бывшие «Personas» теперь называются «темами», а «Persona» — это бывший «BrowserID».
     
     
  • 3.8, ILYA INDIGO (ok), 01:26, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Бывшие «Personas» теперь называются «темами», а «Persona»
    > — это бывший «BrowserID».

    Спасибо, не знал.

     
     
  • 4.10, Аноним (-), 11:12, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Лох!
     
     
  • 5.13, Аноним (-), 13:32, 03/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это судьба
     
  • 2.16, AnonuS (?), 03:05, 04/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет
    > их менять, или подсунет тему с рекламой :))
    > ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной
    > темой, по крайней мере у меня с qtcurve, эту перделку, не
    > то что можно, а нужно давно было выкинуть!

    Илюха, ты блин такой жуткий экстремист: "перделку", "выкинуть!"

    Напиши им письмо, мол так и так, я Илюха с Опеннета, требую немедленно все "перделки" выкинуть, ибо не согласен я. О результатах потом нам поведаешь. А вдруг они и в самом деле пойдут тебе на встречу и таки повыкинут их.

     

  • 1.11, rshadow (ok), 13:12, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мда, студенческая поделка, сразу видно
     
  • 1.12, Аноним (-), 13:30, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нормальный человек, если попадет в сервис с чужого аккаунта, сразу перелогинится
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру