In einem übersichtlichen und leicht verständlichen Paper beschreiben die Sicherheitsspezialisten Thai Duong und Juliano Rizzo eine eklatante Sicherheitslücke, die es bei vielen Web-Diensten ermöglicht, ohne Autorisierung API-Anfragen im Namen einer registrierten Client-Anwendung zu stellen. Die Schwachstelle befindet sich in dem Protokoll, mit dem Clients die URL-Parameter für die digitale Signatur mit dem geheimen Schlüssels des Clients vorbereiten; eine sogenannte Verlängerungsattacke auf den verwendeten Hash-Algorithmus (MD5 oder MAC) erledigt den Rest. Betroffen sind bekannte Dienste wie Flickr, Vimeo, Zooomr und Scribd. Doch ein Fix ist vorerst nicht in Sicht.
Flickr's API Signature Forgery Vulnerability (PDF) von Thai Duong und Juliano Rizzo
Themen-Forum Verschlüsselung
Mehr zum Thema Flickr digitale Signatur Hash-Funktion API
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
