两款互联网登录系统曝出重大漏洞 短期内或无法修复

标签: TechWeb | 发表时间:2014-05-03 11:45 | 作者:
出处:http://www.techweb.com.cn/rss/focus.xml

几周前,OpenSSL网站加密工具曝出的“Heartbleed”漏洞,已经将整个互联网安全领域震翻了一回。尽管绝大多数网站都在第一时间修复了它,但是一个新的问题又浮出了水面。一名安全研究人员发现了两款登录系统上的重大漏洞,而想要修复它们,却比Heartbleed要困难得多。

据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

这可导致攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。

鉴于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及LinkedIn——Wang表示他已经向这些公司已经了汇报。

Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有站点。

Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。

至于Google,预计该公司会追踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。

讽刺的是,微软、Google、以及其它科技公司,在早几天才宣布了“资助开源安全系统研究,以避免又一个Heartbleed危机”的消息。

相关 [互联网 登录 系统] 推荐:

两款互联网登录系统曝出重大漏洞 短期内或无法修复

- - TechWeb 今日焦点 RSS阅读
几周前,OpenSSL网站加密工具曝出的“Heartbleed”漏洞,已经将整个互联网安全领域震翻了一回. 尽管绝大多数网站都在第一时间修复了它,但是一个新的问题又浮出了水面. 一名安全研究人员发现了两款登录系统上的重大漏洞,而想要修复它们,却比Heartbleed要困难得多. 据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect).

互联网推荐系统漫谈

- - 互联网旁观者
推荐系统这个东西其实在我们的生活中无处不在,比如我早上买包子的时候,老板就经常问我要不要来杯豆浆,这就是一种简单的推荐. 随着互联网的发展,把线下的这种模式搬到线上成了大势所趋,它大大扩展了推荐系统的应用:亚马逊的商品推荐,Facebook的好友推荐,Digg的文章推荐,豆瓣的豆瓣猜,Last.fm和豆瓣FM的音乐推荐,Gmail里的广告......在如今互联网信息过载的情况下,信息消费者想方便地找到自己感兴趣的内容,信息生产者则想将自己的内容推送到最合适的目标用户那儿.

互联网上的单点登录研究

- Frank Cai - 互联网的那点事
随着互联网络应用的普及,越来越多的人开始使用互联网上提供的服务. 然而目前提供服务的网站大多采用用户名、口令的方式来识别用户身份,这使得用户需要经常性的输入自己的用户名、口令. 显然这种认证方式存在着弊端:随着用户网络身份的增多,用户相应的需要记忆多组用户名、口令,这给用户造成记忆上的负担;另外频繁的输入用户名、口令,会相应的增大用户的口令密码被破解的机率.

有道词典登录Mac - 首家互联网免费词典

- Coolxll - cnBeta全文版
近日有道词典Mac Beta版上线,为广大使用 Mac的果粉们带来了福音. 作为Mac系统中首家互联网词典,有道词典Mac版在丰富的基本释义基础上,依 托网络释义功能,轻松囊括互联网上最新最酷最流行的中外文词汇. 同时有道词典Mac版支持Safari、Chrome、Firefox等主流浏览器的取 词、划词翻译,让用户在使用翻译服务时更加方便快捷.

账号系统的两阶段登录和三阶段登录

- - idea's blog
简单的账号登录是一阶段登录, 也即用户提供用户名和密码, 然后服务器端验证账号和密码是否正确以决定是否成功登录. 一阶段登录其实安全性是非常危险了, 其危险性就在于这个登录流程涉及到的数据都是静态的, 因为用户名和密码一般不会改变.. 为了在登录流程中引入动态数据, 必须把流程改为两阶段登录: 1, 获取动态临时 secret salt; 2.

PHP实现Google Oauth的登录系统

- - 极客521 | 极客521
本文讲述的是如何为你的PHP项目实现Google的Oauth系统. 这个示例PHP脚本非常快,对增加你的PHP项目注册当然是很有帮助的. 在这之前,我们已经覆盖了包含Facebook、Twitter、Google plus以及Instagram的Oauth登录系统示例. 很遗憾之前我遗漏掉了Google的Oauth登录系统.

互联网趋势与推荐系统的机会(2)

- clickstone - Resys China
本文分两部分,本篇为第二部分:推荐系统在这个变化中能做些什么;第一部分:当前互联网趋势的一些变化. SNS和application的兴起从根本上动摇了Google的生态体系赖以存在的基础,一方面信息和系统不再是自由和开放的,另一方面信息本身也越来越多的被体验所替代. 这个倾向伴随着web 2.0的壮大,尤其是最近一两年,已经可以称得上是趋势了.

[转][转]互联网系统架构的演进

- - heiyeluren的blog(黑夜路人的开源世界)
来源: http://www.csdn.net/article/2013-08-27/2816716. 摘要:多终端接入、开放平台给互联网带来了前所未有的用户数量和访问规模,信息之多、传播速度之快,是传统网站难以想象的. 本文将从发展演进的角度,解读高性能互联网系统架构. 多终端接入、开放平台给互联网带来了前所未有的用户量级和访问规模,SNS网站产生了海量的UGC(用户产生内容),而且这些内容依托关 系链扩散速度之快、传播范围之广是传统网站难以想象的,海量数据的计算存储也一直是近年互联网领域的热点.

移动互联网系统架构十大陷阱

- - 五四陈科学院-坚信科学,分享技术
以下内容由 [五四陈科学院]提供. 过去的三年,54chen一直奋斗在中国移动互联网一线,历经各种坑爹的情况. Top 1.时不我待 连通性. cmwap cmnet这样的词语以后应该都会消失在人世间. 三年前,经常性地有移不动联不通手机连不上服务器机房的情况. 相信未来会越来越好,时代在召唤. Top 2.生不逢时 HTML5.