اخبارامنیت

حفره‌ی امنیتی مهم OAuth2 و ماژول OpenID مشابه با heartbleed

هنوز زمان زیادی از  مشکل امنیتی موجود در openssl –خونریزی قلبی– نمی‌گذرد و همچنان کاربران در حال بروز رسانی و رفع مشکلات ایجاد شده توسط این حفره هستند که شاهد بروز مشکل امنیتی دیگری بر روی پروتکل OAuth2 و ماژول OpenID هستیم. پروتکل OAuth در سایت‌هایی نظیر گوگل، فیس‌بوک، لینکداین، یاهو، و بسیاری از سایت‌های بزرگ دیگر استفاده شده‌است.
OAuth 2.0 and OpenID Bug

لیست سایت‌هایی که از پروتکل OAuth استفاده می‌کنند را می‌توانید از لینک http://en.wikipedia.org/wiki/OAuth مشاهده نمایید.

پروتکل OAuth: پروتکلی است که برای متصل کردن ۲ یا جند حساب کاربری در سایت‌های مختلف استفاده می‌شود. به‌عنوان مثال می‌توانید از سایتی مانند Linkedin.com بدون ساخت حساب کاربری، به‌وسیله‌ی حساب‌ کاربری سایر سایت‌ها مانند فیس‌بوک، گوگل و توئیتر که از OAuth2 و ماژول OpenID استفاده می‌کنند، استفاده نمایید. در این حالت ابتدا شما به سایتی که در آن حساب کاربری دارید Log in و پس از تعیین اعتبار به سایت لینکداین متصل خواهید شد.

حفره‌ی امنیتی جدیدی به نفوذگران امکان می‌دهد که با استفاده از تکنیک‌های phishing در زمان درخواست نام کاربری و رمز عبور، اطلاعات کاربری شما را سرقت و از آن سوء استفاده نمایند.
برای جلوگیری از سرقت اطلاعات و با توجه به عدم ارائه راه‌حل معتبر تا کنون، توصیه ما به شما این است که تا اطلاع ثانوی و رفع مشکل امنیتی از OpenID جهت ورود به سایت‌ها استفاده نکنید.
برچسب ها

۹ دیدگاه

  1. سلام
    ممنون از مطلب مفیدتون.
    نویسنده این مقاله چی کسی است ؟
    آیا امکان ارتباط مستقیم با ایشان وجود دارد‌؟ چند تا سوال و مشورت در مورد oauth دارم .

    1. سلام،
      نویسنده آقای رحیمیان هستند، چنانچه در ایران‌سرور سرویس داشته و از کاربران مجموعه هستید باارسال تیکت به بخش پشتیبانی می‌توانید با ایشان در ارتباط باشید. در غیر اینصورت با عضویت در پورتال ایران‌سرور و ارسال تیکت به بخش فروش، راه ارتباطی شما با ایشان خواهد بود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن