Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/04/2012
Identifiquen importants vulnerabilitats als sistemes Single Sign-On
Descobrixen importants fallades de seguretat en els protocols de registre single sign-on, usats per Google i Facebook entre altres. Les vulnerabilitats identificades podrien permetre a alguna persona estafadora suplantar la identitat de qualsevol.
Esta és la principal conclusió que s’extrau d’un recent estudi de seguretat dut a terme des de la Universitat Bloomington d’Indiana i que ha comptat amb la participació de Microsoft Research. De fet, algunes persones expertes han assegurat trobar un bon nombre de fallades serioses en OpenID i el sistema single sign-on utilitzat per Facebook, a més d’implantacions d’estos sistemes en diverses webs molt populars. Google i PayPal es troben entre els usuaris d’OpenID.
"El problema és que el sistema d’autenticació fa la vida més fàcil però convertix la gestió de la seguretat en una cosa més canviant", assegura XiaoFeng Wang, un dels autors de l’informe.
En realitzar un registre basat en single sign-on, s’inicia una conversació entre la web que la persona usuària visita i el personal proveïdor del compte identificat. La web demana que es verifique una certa informació i el personal proveïdor del compte respon amb l’aprovació o el rebuig. Però, com en qualsevol conversació, hi ha espai per a una mala interpretació.
Llegiu notícia completa en CSO Spain.