2014. május 3., szombat

OAuth 2.0, OpenID, openhack...

Technikai szempontból tényleg nem nagy durranás, a cNET-en tegnap durrant hír, ami szerint az emlegetett SSO-megoldások milyen frappáns kis adatlopást tesznek lehetővé. Aki kevésbé van képben: számos webes szolgáltatás felajánlja, hogy ha először jársz náluk, ámde nem szeretnél regisztrálni valaminek az eléréséhez, egyszerűen lépj be a Google-, Facebook- vagy OpenID-accountoddal. A dolog nem csak azért problematikus, mert ha az SSO-hoz használt account megszűnik, a felhasználó gyakorlatilag elveszi a hozzáférését az adott szolgáltatáshoz [Facebook-accountot törölni pedig nem nagy bravúr, mint tudjuk], ha a belépéshez használt account kompromittálódik, a támadó viszi az egész házat illetve, ha a felhasználó nem emlékszik rá, hogy hol használta a belépéshez a nagy-nagy szolgáltatóknál használt accountját a belépéshez és ö maga törli a fiókját, ugyancsak nem tud majd hozzáférni ahhoz a szolgáltatáshoz, amit pl. egy laza FB-belépéssel ért el. Na ezért is regisztrálok mindenhol külön-külön e-mail-címmel és jelszóval. Teljes sztori erre: Serious security flaw in OAuth, OpenID discovered