Ошибка скрытого перенаправления в OAuth не влияет на MYDIGIPASS.COM

ID ответа Васко-стер-20140505-OAuth

Номер ревизии 1,0

Дата выпуска 05 мая 2015 10:57 UTC + 1

Последнее обновление 05 мая 2015 10:57 UTC + 1

Резюме

Скрытое перенаправление является недостатком безопасности в реализации OAuth провайдерами служб приложений (ASP), позволяя злоумышленникам получать персональные данные пользователей, имеющих учетную запись с ошибочными ASP. MYDIGIPASS.COM безопасен от недостатка скрытого перенаправления.

Что такое OAuth?

OAuth - это открытый протокол для авторизации. OAuth определяет процесс авторизации сторонних приложений для получения доступа к учетным записям пользователей.

Что такое скрытое перенаправление?

Скрытое перенаправление является недостатком безопасности в реализации OAuth провайдерами сервисов приложений (ASP), впервые опубликованными 2 мая 2014 года.
В протоколе OAuth веб-сайт ASP (например, example.com) отправляет запрос на авторизацию веб-сайту поставщика аутентификации (например, mydigipass.com). Этот запрос содержит URI, например https://ASP.com/redirect/?&original_page=https://ASP.com/myprofile. Поставщик проверки подлинности предлагает пользователю войти в домен поставщика проверки подлинности, а затем выдает код авторизации на веб-сайт ASP (example.com). Этот код авторизации передается от поставщика аутентификации на веб-сайт ASP путем перенаправления браузера пользователя на URI, указанный в запросе авторизации.
Недостаток скрытого перенаправления существует, если ASP разрешают открытое перенаправление на веб-страницу, выбранную злоумышленником. В этом случае злоумышленник вставит URI, перенаправляющий на мошеннический веб-сайт, в запрос на авторизацию, а ASP перенаправит на него. Например, URI https://example.com/redirect/?&original_page=https://evil.com/myprofile может привести к некорректному ASP перенаправить браузер пользователя на https://evil.com/myprofile, и это мошеннический веб-сайт может впоследствии получить доступ к личным данным пользователя.

Каково влияние Covert Redirect?

Злоумышленники могут использовать уязвимость безопасности Covert Redirect для получения кода авторизации, выданного поставщиком аутентификации. Этот код авторизации может, в свою очередь, использоваться для доступа к данным учетной записи пользователей, которые хранятся поставщиками аутентификации. Эти данные впоследствии могут быть использованы для дальнейших злонамеренных целей.

Является ли MYDIGIPASS.COM уязвимым для скрытого перенаправления?

Нет это не так.
MYDIGIPASS.COM выполняет две проверки, чтобы убедиться, что он не подвержен этому недостатку:

Во-первых, MYDIGIPASS.COM проверяет, точно ли URI в запросе авторизации ASP соответствует URI в настройках конфигурации MYDIGIPASS.COM для этого ASP, в соответствии с рекомендациями по безопасности IETF относительно OAuth. Это не только гарантирует, что MYDIGIPASS.COM перенаправляет на домен ASP, но и перенаправляет только на конкретную веб-страницу, зарегистрированную в MYDIGIPASS.COM ASP.

Во-вторых, MYDIGIPASS.COM аутентифицирует ASP, когда он запрашивает токен доступа как часть авторизации. ASP должен предоставить свой клиентский секрет MYDIGIPASS.COM для аутентификации. Мошеннический ASP не сможет предоставить Секрет клиента, что означает, что он не может получить доступ к личным данным пользователей MYDIGIPASS.COM.

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной. 

 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

Fla Скрытая ошибка перенаправления в OAuth не влияет на MYDIGIPASS.COM