DNS騙しと弱鍵でOpenIDなりすまし |
返信 |
セキュリティ OpenID | |
OpenIDにフィッシングの危険発覚
http://www.itmedia.co.jp/news/articles/0808/18/news014.html
OpenID at risk due to DNS flaw, warns researcher
http://news.zdnet.co.uk/security/0,1000000189,39461045,00.htm?r=2
[弱点1] by Robin Wilton
DNSキャッシュポイズニングの危険性
→OpenIDでインパクト大
→OpenIDはDNSが正しく動いているからこそ正しく機能する
→ウチの会社(Sun)はOpenIDじゃなくLibertyを使ってるから無問題(宣伝かよ!)
[弱点2] by Ben Laurie and Richard Clayton
OpenIDプロバイダーによっては証明書の鍵を比較的簡単に見破れる
→これはDebianの乱数生成処理に起因
→弱点1と併用で認証サーバー(OpenIDプロバイダー)なりすまし楽勝!
→SunもOpenIDプロバイダーやってっけどあんたんとこもこの鍵だからやべーぞ
An insecurity in OpenID, not many dead
http://www.lightbluetouchpaper.org/2008/08/09/an-insecurity-in-openid-not-many-dead/
Debianの鍵生成でたった32,768種類の鍵しか作れない
→この鍵がどんだけ転がってるか探そうぜ
→1.5%あった
→そのうちOpenIDプロバイダーはSun含めて3つ
→Sunは指摘したら対応してくれたみたいだがちゃんと
今までのを失効させないと出さないとダメだぞウィルトン(釘を刺す)
注:Wilton氏のブログでは失効リストに言及してるので
認識はあるが発行したという書き込みはまだない。
投稿者 viktw2 | 返信 (1) | トラックバック (0)