Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Deutsche Forscher finden Sicherheitslücken im OAuth-Protokoll

    Deutsche Forscher finden Sicherheitslücken im OAuth-Protokoll

OAuth 2. (Logo: OAuth)

Zum ersten Mal beschäftigt sich ein Paper mit der Sicherheit des OAuth-2-Standards. Zwar haben die Autoren zwei bisher unbekannte Sicherheitslücken gefunden – grundsätzlich ist der Standard aber ziemlich sicher.

OAuth 2: Forscher untersuchen die Sicherheit des Standards

OAuth wird unter anderem von Anbietern wie Facebook, Google, GitHub oder PayPal verwendet. Daher überrascht es auch etwas, dass bislang nur einzelne Implementationen des Standards auf Schwachstellen untersucht worden sind. Jetzt haben Ralf Küsters, Daniel Fett und Guido Schmitz von der Universität Trier erstmals einen genauen Blick auf den Standard selbst geworfen.

Forscher der Universität Trier haben einen Blick auf die Sicherheit des OAuth-2-Standards geworfen. (Grafik: OAuth)
Forscher der Universität Trier haben einen Blick auf die Sicherheit des OAuth-2-Standards geworfen. (Grafik: OAuth)

Ihre Untersuchung hat zwei bislang unbekannte Sicherheitslücken zu Tage befördert, die neben OAuth auch das darauf basierende OpenID-Connect betreffen. Eine davon bezieht sich auf eine temporäre Weiterleitung (HTTP Status-Code 307), während die Zweite auf einen Man-in-the-Middle-Angriff aufbaut. Beide Sicherheitslücken wurden anhand aktueller Implementationen des Standards verifiziert und den jeweiligen Arbeitsgruppen hinter dem OAuth-Standard und OpenID mitgeteilt. Die wiederum sollen die Sicherheitslücken ebenfalls bestätigt und die Verbesserungsvorschläge des Trios übernommen haben.

OAuth 2: Grundsätzlich sehr sicherer Standard

Das Paper macht allerdings deutlich, dass der OAuth-Standard, sofern richtig implementiert, ziemlich sicher ist. Grundsätzlich spricht demnach nichts gegen den Einsatz der schon weit verbreiteten Technologie.

Wer sich eingehender mit der Untersuchung der Forscher beschäftigen will, kann das OAuth-Paper als PDF-Datei über die arXiv-Portal der Cornell-University herunterladen.

Ebenfalls interessant ist unser Artikel „Hilfreiche ‚Schadsoftware‘ für das Internet der Dinge: Wifatch schließt Sicherheitslücke“.

via www.theregister.co.uk

Finde einen Job, den du liebst

7 Reaktionen
grep

Hallo ...,

in regelmäßigen, relativ kurzen Intervallen werden nun schon seit geraumer Zeit schwere Sicherheitslücken 'hier und da' gefunden ... fragt sich wann resp. ob diese Serie noch enden wird.

Jedenfalls besser als unentdeckte Lücken.

Ciao, Sascha.

Antworten
dustin
dustin

1) "Deutsche Forscher" Gibt es kein Paper in Deutsch?
2) Zu Jan: Seine Arbeit ist unter https://github.com/hueniverse/hawk zu finden.

Antworten
Daniel F.
Daniel F.

In der Informatik wird üblicherweise in Englisch publiziert, daher gibt es kein deutsches Paper dazu.

Antworten
Sicherheit hat viele Feinde
Sicherheit hat viele Feinde

Nett wäre eine kurze Liste von Produkten und Firmen oder Einsatz-Zwecken wo es eingesetzt wird. Elster ? Datev ? Disqus-Anmeldung ? Google+-Anmeldung ? Twitter-Postings ? Ein Schwerpunkt vielleicht auch wo es oppositionelle benutzen die über Dienste-Middleman-Server dann ausgehorcht werden.

"sofern richtig implementiert"
Schon das schaffen viele ja nicht. Angebliche AES-Platten sind oft auch fehlerhaft implementiert.

Ein U-Boot kann bzw. sollte nicht "ziemlich dicht" sein. Oder eine Pizza "ziemlich bakterien/viren-frei".

Aber für sowas macht man sich natürlich keine Freunde und schlechte Software ist so normal das sogar die Behörde warnen muss:
http://t3n.de/news/it-sicherheit-deutschland-bsi-658277/
http://www.golem.de/news/brain-test-comeback-android-malware-in-googles-play-store-1601-118425.html
http://t3n.de/news/android-malware-apps-schadsoftware-google-play-massvet-635334/
Google hat Virustotal übernommen. Die könnten jede App automatisch überprüfen und wiederholtes hochladen unterbinden.
Ist wohl nicht so wichtig für die Boni-Manager...
Wofür dienen die Einstellungs-Tests eigentlich ? Um die/den nächste/nächsten Marissa Meyer zu finden ???

Gabs nicht ein Einstein-Zitat das die Dummheit unendlich wäre ?
Die Frage ist schon ewig ob die Summer der Programmierer-IQs logarithmisch oder linear (z.b. 5%) pro Jahr wächst. Exponentiell wächst die Programmiererzahl natürlich nicht aber vielleicht mit 10% so das eine Verwässerung stattfindet wenn die IQ-Summe nur mit 5% hinterher kommt. Fernsehen, Pop-Musik, Radio, Autos (heute E-Autos), Eisenbahn, Baumwolle,...(halt alles was irgendwann mal neu war) verdummen vielleicht ja doch...
Doch dank Dr.h.c. Schavans Schulsystem-Förderung sind die Bewerber jedes Jahr immer besser und das könnt ihr alle doch sicher bestätigen...

Wer Sarkasmus findet kann ihn behalten...

Antworten
Jan
Jan

Eran Hammer (arbeitete an der Spezifikation zu OAuth 2.0 mit) hat schon vor 3 Jahren OAuth 2.0 kritisiert: https://vimeo.com/52882780
Ob es sich dabei um die gleichen Sicherheitslücken handelt weiß ich nun nicht mehr, müsste man sich das Video nochmal anschauen.

Antworten
Daniel F.
Daniel F.

Dabei handelt es sich natürlich nicht um die gleichen Lücken, sonst hätte das bei der OAuth-Arbeitsgruppe kaum jemanden interessiert.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen