© Kacper Pempel, Reuters
Компютърният специалист и докторант в технологичния университет Нанянг в Сингапур Уанг Джинг е открил сериозен пробив в сигурността на софтуерните системи OAuth и OpenID, съобщава онлайн изданието CNET. Това са две от най-популярните системи за управление на влизането в профили за интернет сайтове, като се използват от хиляди страници в мрежата.
Двете платформи са изградени на отворен код, но въпреки това се използват и от големи компании като Facebook, Google, Microsoft, LinkedIn и др. Благодарение на пробива в тях, хакерите могат да преодоляват защитите и да се сдобиват с лични данни на потребителите или да ги пренасочват към рискови сайтове.
Проблемът е наречен "Covert Redirect" и позволява на хакерите да добавят код към избран сайт, чрез който да се появява изскачащ прозорец с фалшива логин страница. Тя имитира страниците за влизане в профилите на популярни социални мрежи и така примамва потребителите да въведат имената и паролите си. Към фалшивите страници могат да се добавят полета и с допълнителна информация, която да изискват от потребителите.
За сега не е ясно колко и кои точно сайтове са засегнати от проблема. Уанг е предупредил големите компании преди да публикува откритието си. От Facebook са му отговорили, че "разбира риска свързан с OAuth 2.0", но няма как бързо да реши проблема, освен да поиска от приложенията да използват т.нар. whitelist или списък с доверени адреси, които да имат право на достъп до определени функции.
Отговорът на Google е бил, че разглежда проблема, а LinkedIn подготвя публично изявление. Microsoft казва, че не е открил проблем в своята инфраструктура.
За сега потребителите трябва да бъдат внимателни към страниците, които изискват от тях да въвеждат имена, пароли и други лични данни. Според Уанг, тъй като много малки фирми и сайтове, нямат стимул да решават проблема, те вероятно няма да използват обновената версия на платформите, която ще се появи скоро.
Петър Петров
Рейтинг: 704 НеутралноОбщо взето - един ключар е открил че ключовете могат да се фалщифицират лесно.Да но големите фирми не се доверяват само на един ключ.Тоест поредната новина от рода - може би е опасно.
Горд българин с три години стаж в Испания .ilinko
Рейтинг: 709 НеутралноДвете платформи са изградени на отворен код, но въпреки това се използват и от големи компании като Facebook, Google, Microsoft, LinkedIn и др.
Според това изречение излиза, че големи компании не използват платформи с отворен код... или аз нещо не съм го разбрал
stoiank
Рейтинг: 1104 НеутралноДо коментар [#2] от "ilinko":
Ето малко по-подробно.
http://www.cnet.com/news/serious-security-flaw-in-
Легионер
Рейтинг: 426 ЛюбопитноСлучайно да е българин?
Отговарям и общувам във форума само с хора, които спазват добрия тон, уважават чуждото мнение и са коректни в изказванията си.Мойше! Толкоз!!!
Рейтинг: 913 ВеселоИ кой е този...%€§*(*§€€§*(*§€€§* който освен ника и паролата си (различни за най посещаемите от него 3-4 сайта) ще въведе и допълнителни данни
?!? Па и истински?
). Ама и в други сайтове...А'е нЕма нужда
THOSE ARE MY PRINCIPLES! AND IF YOU DON'T LIKE THEM...WELL, I HAVE OTHERS, TOO!Нейсе Дневник че ни пита за доходите (тук съм безработен пенЦионер с минимални доходи, не разтягам лАкуми, такъФ съм
8th_ball
Рейтинг: 817 НеутралноДо коментар [#2] от "ilinko":
Всъщност именно отвореният код е доста по-сигурен, именно благодарение на него докторантът Уанг Джинг е успял да открие пробива, иначе раната можеше да си гноясва с десетилетия, преди да бъде открита.
Darth Plagueis
Рейтинг: 1378 НеутралноДо коментар [#6] от "8th_ball":
Евродепутати от ГЕРБ, БСП и ДПС искат отпадане на мониторинга от ЕКБлагодарение на отворен код, програмистът е открил дефект в отворения код и това прави отворения код сигурен?
8th_ball
Рейтинг: 817 НеутралноДо коментар [#7] от "Тони!":
Не, Тони. Благодарение на отворения код опитният програмист може да види всичко, което ти се случва като процеси в компютъра. Ако е хакер, ще се опита да се възползва, но срещу него стоят стотици хиляди чифтове очи, които гледат и не го допускат.
Да ти дам пример - на Майкрософт и Епъл им трябват понякога седмици и месеци, за да фиксират даден проблем със своите си специалисти. В отворените ОС обикновено отнема часове. И това е именно благодарение на отворения код.
Darth Plagueis
Рейтинг: 1378 НеутралноДо коментар [#8] от "8th_ball":
Евродепутати от ГЕРБ, БСП и ДПС искат отпадане на мониторинга от ЕКАми това всъщност значи, че отвореният код е по-опасен. Както е и всъщност.
Боби Колев
Рейтинг: 1320 НеутралноДо коментар [#7] от "Тони!":
http://www.bbc.com/news/magazine-37612083Идеята зад отворения код е, че съществува перфектно решение на достатъчно ясно формулиран и ограничен проблем и ако такова решение бъде намерено, то ще работи и толкоз, в рамките на параметрите, в които е дефинирано, разбира се.
Пример за такова решение извън ИТ бизнеса е например, че човек касиер може да мами, но робот касиер не може, освен ако не е повреден или нарочно програмиран така.
Освен с други неща, отвореният код е полезен с това, че позволява такова "перфектно" решение (още веднъж - в рамките на ясно дефинирано задание!) да бъде намерено максимално бързо като го предоставя на максимално широк кръг критично настроени единици.
И да, практиката показва, че при липса на кардинални промени, времето след всяка корекция на отворен код до откриване на нова грешка намалява.
Специално в криптографията и защитите силата на отворения код е, че това, че някой го чете не би трябвало да му помогне.
maren
Рейтинг: 495 НеутралноСпоред нова информация на mashable.com, се оказва, че проблемът не е нов и компаниите са знаели за него, но за щастие, Covert Redirect не е следващия Heartbleed.
stoilkov
Рейтинг: 8 НеутралноДневник, излагате се.
Без коз
Рейтинг: 861 НеутралноДо коментар [#9] от "Тони!":
Народ, който избира корумпирани, самозванци, крадци и предатели, не е жертва! Съучастник е !Тонка,брат
Това всъщност значи,че не ти е позната материята и този прпуск твой няма да се запълни с една статия.
Но никога не е късно да се захванеш с четене.Виждам,че имаш най-голямата библиотека, остава да намериш време и 2 молекули желание. Успех.
Чугун Индъстрис
Рейтинг: 217 Веселохахахха... и Microsoft като нашето правителство - какви протести, няма такова нещо
))))
lowec
Рейтинг: 381 ВеселоДо коментар [#8] от "8th_ball":
И не само в компа.Виждат с какви долни гащи си и по навътре от гащите.
daria_vip
Рейтинг: 479 НеутралноНе знам Firefox е отворен и това не спря да му открият
4 zero days за 1 ден
tak40309320
Рейтинг: 217 НеутралноОтвореният код затова е отворен, за да могат неграмотниците да го плюят.
има хора с много профили, има и профили които се ползват от много хораЗатвореният код затова е затворен - за да могат неграмотниците да го хвалят.
Mickey
Рейтинг: 690 НеутралноДо коментар [#17] от "tak40309320":
Изгони КомуноЧенгесарския ГЕРБ - спаси България !!! (Ама, не ни натрисай другарите им от БСП пак ! )+++++++++++++