Компютърен специалист откри пробив в двете най-популярни логин системи в интернет

Компютърен специалист откри пробив в двете най-популярни логин системи в интернет

© Kacper Pempel, Reuters



Компютърният специалист и докторант в технологичния университет Нанянг в Сингапур Уанг Джинг е открил сериозен пробив в сигурността на софтуерните системи OAuth и OpenID, съобщава онлайн изданието CNET. Това са две от най-популярните системи за управление на влизането в профили за интернет сайтове, като се използват от хиляди страници в мрежата.


Двете платформи са изградени на отворен код, но въпреки това се използват и от големи компании като Facebook, Google, Microsoft, LinkedIn и др. Благодарение на пробива в тях, хакерите могат да преодоляват защитите и да се сдобиват с лични данни на потребителите или да ги пренасочват към рискови сайтове.


Проблемът е наречен "Covert Redirect" и позволява на хакерите да добавят код към избран сайт, чрез който да се появява изскачащ прозорец с фалшива логин страница. Тя имитира страниците за влизане в профилите на популярни социални мрежи и така примамва потребителите да въведат имената и паролите си. Към фалшивите страници могат да се добавят полета и с допълнителна информация, която да изискват от потребителите.




За сега не е ясно колко и кои точно сайтове са засегнати от проблема. Уанг е предупредил големите компании преди да публикува откритието си. От Facebook са му отговорили, че "разбира риска свързан с OAuth 2.0", но няма как бързо да реши проблема, освен да поиска от приложенията да използват т.нар. whitelist или списък с доверени адреси, които да имат право на достъп до определени функции.


Отговорът на Google е бил, че разглежда проблема, а LinkedIn подготвя публично изявление. Microsoft казва, че не е открил проблем в своята инфраструктура.


За сега потребителите трябва да бъдат внимателни към страниците, които изискват от тях да въвеждат имена, пароли и други лични данни. Според Уанг, тъй като много малки фирми и сайтове, нямат стимул да решават проблема, те вероятно няма да използват обновената версия на платформите, която ще се появи скоро.


Всичко, което трябва да знаете за:
Коментари (18)
  1. Подредба: Сортирай
  1. 1 Профил на Петър Петров
    Петър Петров
    Рейтинг: 1358 Неутрално

    Общо взето - един ключар е открил че ключовете могат да се фалщифицират лесно.Да но големите фирми не се доверяват само на един ключ.Тоест поредната новина от рода - може би е опасно.

    Инсталатор на оптика в Мадрид и в свободното време - компютри мрежи сайтове
  2. 2 Профил на ilinko
    ilinko
    Рейтинг: 779 Неутрално

    Двете платформи са изградени на отворен код, но въпреки това се използват и от големи компании като Facebook, Google, Microsoft, LinkedIn и др.

    Според това изречение излиза, че големи компании не използват платформи с отворен код... или аз нещо не съм го разбрал

  3. 3 Профил на stoiank
    stoiank
    Рейтинг: 1204 Неутрално
  4. 4 Профил на Легионер
    Легионер
    Рейтинг: 458 Любопитно

    Случайно да е българин?

    Отговарям и общувам във форума само с хора, които спазват добрия тон, уважават чуждото мнение и са коректни в изказванията си.
  5. 5 Профил на Мойше! Толкоз!!!
    Мойше! Толкоз!!!
    Рейтинг: 1160 Весело

    И кой е този...%€§*(*§€€§*(*§€€§* който освен ника и паролата си (различни за най посещаемите от него 3-4 сайта) ще въведе и допълнителни данни?!? Па и истински?

    Нейсе Дневник че ни пита за доходите (тук съм безработен пенЦионер с минимални доходи, не разтягам лАкуми, такъФ съм). Ама и в други сайтове...А'е нЕма нужда

    THOSE ARE MY PRINCIPLES! AND IF YOU DON'T LIKE THEM...WELL, I HAVE OTHERS, TOO!
  6. 6 Профил на 8th_ball
    8th_ball
    Рейтинг: 1533 Неутрално

    До коментар [#2] от "ilinko":

    Всъщност именно отвореният код е доста по-сигурен, именно благодарение на него докторантът Уанг Джинг е успял да открие пробива, иначе раната можеше да си гноясва с десетилетия, преди да бъде открита.

  7. 7 Профил на Darth Plagueis
    Darth Plagueis
    Рейтинг: 2226 Неутрално

    До коментар [#6] от "8th_ball":

    Благодарение на отворен код, програмистът е открил дефект в отворения код и това прави отворения код сигурен?

    Евродепутати от ГЕРБ, БСП и ДПС искат отпадане на мониторинга от ЕК
  8. 8 Профил на 8th_ball
    8th_ball
    Рейтинг: 1533 Неутрално

    До коментар [#7] от "Тони!":

    Не, Тони. Благодарение на отворения код опитният програмист може да види всичко, което ти се случва като процеси в компютъра. Ако е хакер, ще се опита да се възползва, но срещу него стоят стотици хиляди чифтове очи, които гледат и не го допускат.

    Да ти дам пример - на Майкрософт и Епъл им трябват понякога седмици и месеци, за да фиксират даден проблем със своите си специалисти. В отворените ОС обикновено отнема часове. И това е именно благодарение на отворения код.

  9. 9 Профил на Darth Plagueis
    Darth Plagueis
    Рейтинг: 2226 Неутрално

    До коментар [#8] от "8th_ball":

    Ами това всъщност значи, че отвореният код е по-опасен. Както е и всъщност.

    Евродепутати от ГЕРБ, БСП и ДПС искат отпадане на мониторинга от ЕК
  10. 10 Профил на Боби Колев
    Боби Колев
    Рейтинг: 1102 Неутрално

    До коментар [#7] от "Тони!":

    Идеята зад отворения код е, че съществува перфектно решение на достатъчно ясно формулиран и ограничен проблем и ако такова решение бъде намерено, то ще работи и толкоз, в рамките на параметрите, в които е дефинирано, разбира се.

    Пример за такова решение извън ИТ бизнеса е например, че човек касиер може да мами, но робот касиер не може, освен ако не е повреден или нарочно програмиран така.

    Освен с други неща, отвореният код е полезен с това, че позволява такова "перфектно" решение (още веднъж - в рамките на ясно дефинирано задание!) да бъде намерено максимално бързо като го предоставя на максимално широк кръг критично настроени единици.

    И да, практиката показва, че при липса на кардинални промени, времето след всяка корекция на отворен код до откриване на нова грешка намалява.

    Специално в криптографията и защитите силата на отворения код е, че това, че някой го чете не би трябвало да му помогне.

    http://www.bbc.com/news/magazine-37612083
  11. 11 Профил на maren
    maren
    Рейтинг: 551 Неутрално

    Според нова информация на mashable.com, се оказва, че проблемът не е нов и компаниите са знаели за него, но за щастие, Covert Redirect не е следващия Heartbleed.

  12. 12 Профил на stoilkov
    stoilkov
    Рейтинг: 8 Неутрално

    Дневник, излагате се.

  13. 13 Профил на Без коз
    Без коз
    Рейтинг: 945 Неутрално

    До коментар [#9] от "Тони!":

    Тонка,брат
    Това всъщност значи,че не ти е позната материята и този прпуск твой няма да се запълни с една статия.
    Но никога не е късно да се захванеш с четене.Виждам,че имаш най-голямата библиотека, остава да намериш време и 2 молекули желание. Успех.

    Народ, който избира корумпирани, самозванци, крадци и предатели, не е жертва! Съучастник е !
  14. 14 Профил на Чугун Индъстрис
    Чугун Индъстрис
    Рейтинг: 233 Весело

    хахахха... и Microsoft като нашето правителство - какви протести, няма такова нещо ))))

  15. 15 Профил на lowec
    lowec
    Рейтинг: 402 Весело

    До коментар [#8] от "8th_ball":

    И не само в компа.Виждат с какви долни гащи си и по навътре от гащите.

  16. 16 Профил на daria_vip
    daria_vip
    Рейтинг: 515 Неутрално

    Не знам Firefox е отворен и това не спря да му открият
    4 zero days за 1 ден

  17. 17 Профил на tak40309320
    tak40309320
    Рейтинг: 245 Неутрално

    Отвореният код затова е отворен, за да могат неграмотниците да го плюят.
    Затвореният код затова е затворен - за да могат неграмотниците да го хвалят.

    има хора с много профили, има и профили които се ползват от много хора
  18. 18 Профил на Mickey
    Mickey
    Рейтинг: 746 Неутрално

    До коментар [#17] от "tak40309320":


    +++++++++++++

    Изгони КомуноЧенгесарския ГЕРБ - спаси България !!! (Ама, не ни натрисай другарите им от БСП пак ! )




За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK