OpenID предупреждает о баге в технологии аутентификации, который
предоставляет хакерам возможность изменять информацию, передаваемую между
сайтами.
На эту уязвимость стоит обратить внимание, т.к. многие крупные сайты, такие
как Google, Yahoo! и Flickr, используют эту технологию для облегчения работы
пользователей – достаточно единожды ввести учетные данные и работать с
несколькими сайтами одновременно. Сотни небольших сайтов также оценили удобство
этой технологии.
Уязвимость системы безопасности возникает из-за ошибки в механизме обмена
аутентификационными данными. Должные проверки подлинности аутентификационных
данных в некоторых случаях не выполнялись, таким образом хакеры получали
возможность вводить фальшивую информацию, которая принималась системой как
верная.
Этот баг был признан OpenID4Java и Kay Framework, обе библиотеки были
обновлены. Janrain, Ping Identity и DotNetOpenAuth к данной ошибке
невосприимчивы.
Пока нет доказательства, что хакеры уже использовали эту уязвимость, но сам
факт того, что шифрование оказалось слабым, стал для OpenID достаточно серьёзным
поводом посоветовать сайтам обновить технологию до новой версии без уязвимости
или использовать разработанные патчи, как указано в руководстве,
опубликованном OpenID.
"Для уязвимых приложений мы рекомендуем модифицировать код так, что бы на
начальном этапе он принимал только подписанные значения", - говорится в
руководстве.