DNS騙しと弱鍵でOpenIDなりすまし | viktw2 | sa.yona.la ヘルプ | タグ一覧 | アカウント登録 | ログイン

DNS騙しと弱鍵でOpenIDなりすまし

返信

OpenIDにフィッシングの危険発覚

http://www.itmedia.co.jp/news/articles/0808/18/news014.html


OpenID at risk due to DNS flaw, warns researcher

http://news.zdnet.co.uk/security/0,1000000189,39461045,00.htm?r=2

[弱点1] by Robin Wilton

DNSキャッシュポイズニングの危険性

→OpenIDでインパクト大

→OpenIDはDNSが正しく動いているからこそ正しく機能する

→ウチの会社(Sun)はOpenIDじゃなくLibertyを使ってるから無問題(宣伝かよ!)

[弱点2] by Ben Laurie and Richard Clayton

OpenIDプロバイダーによっては証明書の鍵を比較的簡単に見破れる

→これはDebianの乱数生成処理に起因

→弱点1と併用で認証サーバー(OpenIDプロバイダー)なりすまし楽勝!

→SunもOpenIDプロバイダーやってっけどあんたんとこもこの鍵だからやべーぞ


An insecurity in OpenID, not many dead

http://www.lightbluetouchpaper.org/2008/08/09/an-insecurity-in-openid-not-many-dead/

Debianの鍵生成でたった32,768種類の鍵しか作れない

→この鍵がどんだけ転がってるか探そうぜ

→1.5%あった

→そのうちOpenIDプロバイダーはSun含めて3つ

→Sunは指摘したら対応してくれたみたいだがちゃんと

今までのを失効させないと出さないとダメだぞウィルトン(釘を刺す)

注:Wilton氏のブログでは失効リストに言及してるので

  認識はあるが発行したという書き込みはまだない。

投稿者 viktw2 | 返信 (1) | トラックバック (0)

このエントリーへのトラックバックアドレス:

Re: DNS騙しと弱鍵でOpenIDなりすまし

おまけ

返信

■[ネット]今更だけどDNSキャッシュポイズニングについて簡単に説明するよ! - そして、DNSポイズニングがなかなか対応されない理由。

http://d.hatena.ne.jp/m-bird/20080811/1218450245

要はアドレス帳にあたるDNS君が

本物の声「俺はopenid.ne.jpだ。アドレスは123.45.67.89だぞ」の後に

偽の声「俺はopenid.ne.jpだ。アドレス変わっちゃったよ。212.34.56.78だぞ」を聞いて

うっかり真に受けちゃったよってことか。

投稿者 viktw2 | 返信 (0)

API | 利用規約 | プライバシーポリシー | お問い合わせ Copyright (C) 2018 HeartRails Inc. All Rights Reserved.