Debilidad en certificación de proveedores cuestiona OpenID
OpenID prometía, pero a mí sólo me producía desconfianza. Por eso rechacé en su día algunas sugerencias sobre su implementación en Kriptópolis.
La idea tras OpenID es sencilla: con el mismo usuario y contraseña puedes acceder a tus cuentas en todos los blogs que soporten el sistema.
Ahora, varios investigadores han descubierto que al menos tres grandes proveedores de OpenID (entre ellos el de Sun Microsystems) han utilizado certificados digitales debilitados por el famoso bug de Debian. La combinación de esto con la vulnerabilidad DNS de Kaminsky forma un cóctel letal, que impide confiar en esos proveedores. En estas condiciones, un atacante puede utilizar ambas vulnerabilidades para dirigir a la víctima a un falso proveedor que, sin embargo, mostraría un certificado válido, obteniendo así, de una sola tacada, sus datos de identificación para cualquiera de los 9.000 sitios que utilizan OpenID...
Para colmo de males la solución no es tan simple como revocar el viejo certificado y generar otro nuevo. Mientras el antiguo no caduque puede seguir siendo usado por un atacante, al menos mientras las bibliotecas OpenID y los navegadores no consulten por defecto las listas de certificados revocados.
Fuente:http://www.kriptopolis.org/debilidad-openid
http://www.links.org/files/openid-advisory.txt
http://blogs.sun.com/racingsnake/entry/one_factor_trust_multi_factor
http://www.lightbluetouchpaper.org/2008/08/09/an-insecurity-in-openid-not-many-dead
http://www.theregister.co.uk/2008/08/13/openid_phish_risk/
http://www.eweek.com/c/a/Security/Big-Questions-About-OpenID-After-Recent-Vulnerabilities/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!