13.10.2009 22:47

In einem übersichtlichen und leicht verständlichen Paper beschreiben die Sicherheitsspezialisten Thai Duong und Juliano Rizzo eine eklatante Sicherheitslücke, die es bei vielen Web-Diensten ermöglicht, ohne Autorisierung API-Anfragen im Namen einer registrierten Client-Anwendung zu stellen. Die Schwachstelle befindet sich in dem Protokoll, mit dem Clients die URL-Parameter für die digitale Signatur mit dem geheimen Schlüssels des Clients vorbereiten; eine sogenannte Verlängerungsattacke auf den verwendeten Hash-Algorithmus (MD5 oder MAC) erledigt den Rest. Betroffen sind bekannte Dienste wie Flickr, Vimeo, Zooomr und Scribd. Doch ein Fix ist vorerst nicht in Sicht.

•  Flickr's API Signature Forgery Vulnerability (PDF) von Thai Duong und Juliano Rizzo

Version zum Drucken

Themen-Forum Verschlüsselung