News-Meldung vom 09.05.2011 13:25
Fehlerhafte Implementierungen der OpenID-Erweiterung Attribute Exchange (AX) ermöglichen es Angreifern, gegenüber Webseiten eine fremde Identität anzunehmen, warnt die OpenID-Foundation. Sicherheitsforscher hatten entdeckt, dass einige an OpenID teilnehmende Webseiten nicht überprüften, ob die übermittelten Daten signiert sind. Durch die fehlende Überprüfung kann ein Angreifer die Daten beliebig manipulieren. Ein konkretes Angriffsszenario nannte die Foundation nicht.
Rollen, Begriffe und Beispiele im OpenID-Umfeld
Welche Webseiten von dem Problem betroffen waren, ließ die Foundation offen. Die Betreiber verwundbarer Seiten wurden vorab über die Schwachstelle informiert und haben die Lücke den Angaben zufolge geschlossen. Laut der Foundation tritt das Problem vor allem bei Anwendungen auf, die die Java-Bibliothek OpenID4Java nutzen.
Die Schwachstelle wurde mit der Finalversion 0.9.6 der Bibliothek geschlossen. Auch das Kay-Framework für Googles App Engine ist bis zur inzwischen überholten Version 1.0.1 verwundbar – aktuell ist Version 1.1.1. Die Foundation schließt nicht aus, dass weitere Libraries verwundbar sind. Janrain, Ping Identity und DotNetOpenAuth seien vermutlich nicht betroffen.
OpenID ist der Versuch, ein quelloffenes Single-Sign-On-System im Netz zu etablieren. Nutzer, die bei einem OpenID-Provider wie Google, Yahoo, WordPress oder MySpace registriert sind, können ihre Zugangsdaten zum Login bei allen teilnehmenden Internetdiensten nutzen.
(rei)
English Version: Identity theft with OpenID
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1239735
Kein Themen-Forum
Mehr zum Thema OpenID Sicherheitslücke Single Sign-on
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
