OpenID 官方组织发布漏洞警告:目前存在某些 OpenID 2.0 认证实现由于不遵守 OpenID Authentication 2.0 规范导致存在了安全漏洞隐患。 漏洞的本质: 在 OpenID 2.0 规范中的 11.4.2.1 部分中描述了:“必须在私有关联上对 OP 进行签名验证,一定不能在共享关联上验证。” 而一些 OpenID 实现没有区分私有关联和共享关联的差别,直接在共享关联上执行签名验证。 漏洞的影响: 通过精心制作的建立在共享关联上的签名可以让任何依赖方(RP)通过共享关联到一个存在漏洞的 OP 上。这也使得攻击者可以方便的登录到 RP 上。 如何检查是否存在此漏洞: 可通过下面这个网站来验证: 希望这份通知能引起社区的注意。 Don Thibeau |
