Login-systemer lukker huller

Artiklen blev oprindeligt publiceret den 20/3/2012

Otte alvorlige sikkerhedshuller i systemer til login på websteder er blevet lukket. Men der findes flere sårbarheder i systemerne.

Det fremgår af en rapport fra tre forskere. De har undersøgt systemer, der lader en bruger genbruge sit login fra en webtjeneste til at få adgang til andre tjenester. Det kan man for eksempel via Facebook eller Google.

Metoden går ud på, at brugerne logger ind hos en såkaldt identitetsudbyder. Når brugeren senere vil logge ind på et andet websted, afleverer browseren et bevis på, at brugeren er logget ind hos identitetsudbyderen.

I artiklen "Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services" skriver forskerne, at de i otte tilfælde fandt alvorlige fejl. Alle fejl medførte, at en angriber kunne udgive sig for at være en anden bruger og dermed få adgang til dennes data.

Fejlene er rettet, men forskerne har fundet endnu flere fejl. De anbefaler derfor yderligere undersøgelser af området. Derfor vil de åbne et websted, som webudviklere kan bruge til at undersøge sikkerheden af de løsninger, de udvikler.

Links

• Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services (PDF-format)