Software & Infrastruktur

Deutsche Forscher finden Sicherheitslücken im OAuth-Protokoll

OAuth 2. (Logo: OAuth)

Zum ersten Mal beschäftigt sich ein Paper mit der Sicherheit des OAuth-2-Standards. Zwar haben die Autoren zwei bisher unbekannte Sicherheitslücken gefunden – grundsätzlich ist der Standard aber ziemlich sicher.

OAuth 2: Forscher untersuchen die Sicherheit des Standards

OAuth wird unter anderem von Anbietern wie GitHub oder PayPal verwendet. Daher überrascht es auch etwas, dass bislang nur einzelne Implementationen des Standards auf Schwachstellen untersucht worden sind. Jetzt haben Ralf Küsters, Daniel Fett und Guido Schmitz von der Universität Trier erstmals einen genauen Blick auf den Standard selbst geworfen.

Forscher der Universität Trier haben einen Blick auf die Sicherheit des OAuth-2-Standards geworfen. (Grafik: OAuth)

Forscher der Universität Trier haben einen Blick auf die Sicherheit des OAuth-2-Standards geworfen. (Grafik: OAuth)

Ihre Untersuchung hat zwei bislang unbekannte Sicherheitslücken zu Tage befördert, die neben OAuth auch das darauf basierende OpenID-Connect betreffen. Eine davon bezieht sich auf eine temporäre Weiterleitung (HTTP Status-Code 307), während die Zweite auf einen Man-in-the-Middle-Angriff aufbaut. Beide Sicherheitslücken wurden anhand aktueller Implementationen des Standards verifiziert und den jeweiligen Arbeitsgruppen hinter dem OAuth-Standard und OpenID mitgeteilt. Die wiederum sollen die Sicherheitslücken ebenfalls bestätigt und die Verbesserungsvorschläge des Trios übernommen haben.

OAuth 2: Grundsätzlich sehr sicherer Standard

Das Paper macht allerdings deutlich, dass der OAuth-Standard, sofern richtig implementiert, ziemlich sicher ist. Grundsätzlich spricht demnach nichts gegen den Einsatz der schon weit verbreiteten Technologie.

Wer sich eingehender mit der Untersuchung der Forscher beschäftigen will, kann das OAuth-Paper als PDF-Datei über die arXiv-Portal der Cornell-University herunterladen.

Ebenfalls interessant ist unser Artikel „Hilfreiche ‚Schadsoftware‘ für das Internet der Dinge: Wifatch schließt Sicherheitslücke“.

via www.theregister.co.uk

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

7 Kommentare
Jan
Jan

Eran Hammer (arbeitete an der Spezifikation zu OAuth 2.0 mit) hat schon vor 3 Jahren OAuth 2.0 kritisiert: https://vimeo.com/52882780
Ob es sich dabei um die gleichen Sicherheitslücken handelt weiß ich nun nicht mehr, müsste man sich das Video nochmal anschauen.

Antworten
Daniel F.
Daniel F.

Dabei handelt es sich natürlich nicht um die gleichen Lücken, sonst hätte das bei der OAuth-Arbeitsgruppe kaum jemanden interessiert.

Antworten
Sicherheit hat viele Feinde
Sicherheit hat viele Feinde

Nett wäre eine kurze Liste von Produkten und Firmen oder Einsatz-Zwecken wo es eingesetzt wird. Elster ? Datev ? Disqus-Anmeldung ? Google+-Anmeldung ? Twitter-Postings ? Ein Schwerpunkt vielleicht auch wo es oppositionelle benutzen die über Dienste-Middleman-Server dann ausgehorcht werden.

„sofern richtig implementiert“
Schon das schaffen viele ja nicht. Angebliche AES-Platten sind oft auch fehlerhaft implementiert.

Ein U-Boot kann bzw. sollte nicht „ziemlich dicht“ sein. Oder eine Pizza „ziemlich bakterien/viren-frei“.

Aber für sowas macht man sich natürlich keine Freunde und schlechte Software ist so normal das sogar die Behörde warnen muss:
https://t3n.de/news/it-sicherheit-deutschland-bsi-658277/
http://www.golem.de/news/brain-test-comeback-android-malware-in-googles-play-store-1601-118425.html
https://t3n.de/news/android-malware-apps-schadsoftware-google-play-massvet-635334/
Google hat Virustotal übernommen. Die könnten jede App automatisch überprüfen und wiederholtes hochladen unterbinden.
Ist wohl nicht so wichtig für die Boni-Manager…
Wofür dienen die Einstellungs-Tests eigentlich ? Um die/den nächste/nächsten Marissa Meyer zu finden ???

Gabs nicht ein Einstein-Zitat das die Dummheit unendlich wäre ?
Die Frage ist schon ewig ob die Summer der Programmierer-IQs logarithmisch oder linear (z.b. 5%) pro Jahr wächst. Exponentiell wächst die Programmiererzahl natürlich nicht aber vielleicht mit 10% so das eine Verwässerung stattfindet wenn die IQ-Summe nur mit 5% hinterher kommt. Fernsehen, Pop-Musik, Radio, Autos (heute E-Autos), Eisenbahn, Baumwolle,…(halt alles was irgendwann mal neu war) verdummen vielleicht ja doch…
Doch dank Dr.h.c. Schavans Schulsystem-Förderung sind die Bewerber jedes Jahr immer besser und das könnt ihr alle doch sicher bestätigen…

Wer Sarkasmus findet kann ihn behalten…

Antworten
dustin
dustin

1) „Deutsche Forscher“ Gibt es kein Paper in Deutsch?
2) Zu Jan: Seine Arbeit ist unter https://github.com/hueniverse/hawk zu finden.

Antworten
Daniel F.
Daniel F.

In der Informatik wird üblicherweise in Englisch publiziert, daher gibt es kein deutsches Paper dazu.

Antworten
grep

Hallo …,

in regelmäßigen, relativ kurzen Intervallen werden nun schon seit geraumer Zeit schwere Sicherheitslücken ‚hier und da‘ gefunden … fragt sich wann resp. ob diese Serie noch enden wird.

Jedenfalls besser als unentdeckte Lücken.

Ciao, Sascha.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung