Falha de redirecionamento oculto no OAuth não afeta MYDIGIPASS.COM

ID da resposta vasco-sr-20140505-oauth

Número de revisão 1.0

Data de lançamento 5 de maio de 2015 10:57 UTC + 1

Última atualização 5 de maio de 2015 10:57 UTC + 1

Resumo

O Redirecionamento oculto é uma falha de segurança na implementação do OAuth por provedores de serviços de aplicativos (ASPs), permitindo que os invasores obtenham os dados pessoais de usuários que possuem uma conta com ASPs defeituosos. MYDIGIPASS.COM está protegido contra falhas de redirecionamento oculto.

O que é OAuth?

OAuth é um protocolo aberto para autorização. OAuth especifica um processo para autorizar aplicativos de terceiros a obter acesso a contas de usuário.

O que é redirecionamento secreto?

O Redirecionamento oculto é uma falha de segurança na implementação do OAuth por provedores de serviços de aplicativos (ASPs), publicada pela primeira vez em 2 de maio de 2014.
No protocolo OAuth, o site de um ASP (por exemplo, example.com) faz uma solicitação de autorização ao site de um provedor de autenticação (por exemplo, mydigipass.com). Esta solicitação contém um URI, como https://ASP.com/redirect/?&original_page=https://ASP.com/myprofile. O provedor de autenticação solicita que o usuário efetue login no domínio do provedor de autenticação e emite um Código de autorização no site da ASP (exemplo.com). Este Código de Autorização é passado do provedor de autenticação para o site da ASP, redirecionando o navegador do usuário para o URI fornecido na Solicitação de Autorização.
A falha de redirecionamento oculto existe se os ASPs permitirem um redirecionamento aberto para uma página da web escolhida por um adversário. Nesse caso, um adversário inseria um URI redirecionado para um site não autorizado na solicitação de autorização e o ASP redirecionava para ele. Por exemplo, o URI https://example.com/redirect/?&original_page=https://evil.com/myprofile faria com que um ASP com falha redirecionasse o navegador do usuário para https://evil.com/myprofile, e isso site não autorizado pode acessar posteriormente os dados pessoais do usuário.

Qual é o impacto do Redirecionamento secreto?

Os invasores podem explorar a falha de segurança do Covert Redirect para obter o Código de Autorização emitido pelo provedor de autenticação. Este Código de autorização pode, por sua vez, ser usado para acessar dados da conta de usuários armazenados por provedores de autenticação. Esses dados podem ser usados posteriormente para outros fins maliciosos.

O MYDIGIPASS.COM é vulnerável ao Redirecionamento secreto?

Não não é.
MYDIGIPASS.COM realiza duas verificações para garantir que não esteja sujeito a essa falha:

Primeiro, MYDIGIPASS.COM verifica se o URI na solicitação de autorização do ASP corresponde exatamente ao URI nas definições de configuração do MYDIGIPASS.COM para esse ASP, de acordo com as recomendações de segurança do IETF sobre o OAuth. Isso não apenas garante que MYDIGIPASS.COM redirecione para o domínio do ASP, mas também redirecione apenas para a página específica registrada no MYDIGIPASS.COM pelo ASP.

Segundo, MYDIGIPASS.COM autentica o ASP quando ele solicita um token de acesso como parte de uma autorização. O ASP deve fornecer seu Segredo do Cliente ao MYDIGIPASS.COM para se autenticar. Um ASP não autorizado não poderia fornecer o Segredo do Cliente, o que significa que não pode acessar os dados pessoais dos usuários do MYDIGIPASS.COM.

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS. 

 

Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Aw Falha de redirecionamento encoberto no OAuth não afeta MYDIGIPASS.COM