– Ikke den neste HeartBleed

Symantec mener at faren ved OpenID- og OAuth-feilene er temmelig begrenset.

Sikkerhetsproblemet som kan oppstå ved bruk av OAuth 2 og OpenID vil trolig bestå. Problemet er knyttet til hvordan teknologiene implementeres, ikke til teknologiene i seg selv.
Sikkerhetsproblemet som kan oppstå ved bruk av OAuth 2 og OpenID vil trolig bestå. Problemet er knyttet til hvordan teknologiene implementeres, ikke til teknologiene i seg selv. Bilde: PantherMedia/Sergey Nivens og digi.no
Harald BrombachHarald BrombachNyhetsleder
6. mai 2014 - 08:23

I går skrev digi.no om en sikkerhetsfeil relatert til bruken av innloggingsteknologiene OpenID og OAuth som berører svært mange nettsteder. Sikkerhetsproblemet kan i utgangspunktet føre til at ondsinnede nettsteder får tilgang til brukerdata. En rekke av selskapene som angivelig skal være berørt, har bekreftet dette. Men faren er angivelig ikke så stor.

Det mener i alle fall sikkerhetsselskapet Symantec, som i et blogginnlegg skriver at «covert redirect»-feilen i alle fall ikke er den neste Heartbleed, altså sårbarheten som ble oppdaget i OpenSSL for omtrent en måned siden.

I stedet er det en sikkerhetsfeil, ikke en sårbarhet, i implementeringen av OAuth gjort av tjenestetilbyderne, mener Symantec.

– For at denne feilen skal kunne utnyttes, kreves det interaksjon fra brukere. En bruker må gi tillatelser til en mottakelig applikasjon for at aksess-tokenet skal kunne kompromitteres. En angriper kan da få tilgang til brukerkontodata som kan bli brukt med ondsinnede hensikter, skriver Symantec.

For å fjerne sikkerhetsfeilen, må nettsteder på sin side opprette en hviteliste med godkjente OAuth «redirect URL-er».

Symantec skriver at «covert redirect» utgjør en bemerkelsesverdig feil, men altså ikke på samme nivå som Heartbleed. Likevel mener selskapet at den fungerer som en påminnelse om at man må være forsiktig med hvilke applikasjoner man bevilger tilgang til.

Det er ikke ventet at det vil komme noen egen løsning som fjerner problemet. I stedet vil det være opp til den enkelte tjenesteleverandør å sørge for at deres egen implementering ikke inneholder slike feil.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.