OpenIDJeden teoretictejsi dotaz, jestli tu nekdo vidi do OpenID (nebo i jinych univerzalnich prihlasovacich protokolu, jde spis o ten celkovej princip). Chtel bych se ujistit, ze si nasledujici zpusob utoku predstavuju spravne a nedelam nekde nejakou myslenkovou blbost.
Rekneme, ze se v budoucnu OpenID skutecne hodne rozsiri a bude se pouzivat prakticky vsude, vcetne napriklad stranek, kam vlezu jednou a vickrat se uz nebudu planovat vracet (napriklad nejaky obchod, kam ale neplanuju chodit pravidelne). Muze nastat tato situace?
Mam Stranku 1 pouzivajici k autentikaci OpenID, rekneme pro jednoduchost GMail. V minulosti jsem pro prihlasovani k GMailu pres OpenID zvolil, ze k tomuto webu se to ma uz v budoucnu prihlasovat bez ptani (predpokladam, ze to spousta/vetsina lidi dela/bude delat). Pak mam Stranku 2, utocnika, rikejme mu EvilShop.com. Rekneme, ze zajdu na EvilShop, najdu tam neco, co me primeje se prihlasit, a pouziji sve OpenID. Probehne cely proces presmerovani na OpenID providera, prihlaseni, atd, ktery skonci tim, ze jsem prihlasen. V tuto chvili utocnik zna moje OpenID, rekneme, ze si tipne, ze pod stejnym OpenID se prihlasuju k GMailu a ze jsem zvolil, ze k GMailu se smim prihlasovat bez ptani, a posle mi (rekneme s "korektni" strankou nabidky zbozi) javascriptovy kod, ktery neco nehezkeho na tom GMailu vyvede (napr. zacne rozesilat spam).
V podstate takove vylepsene CSRF -- vylepsene o to, ze normalni CSRF potrebuje, aby clovek byl aktivne na cilovem webu v nejakem jinem okne prohlizece prihlasen, zatimco tady tohle vyuzije jednoduse toho, ze v budoucnu budou vsichni na vsechno pouzivat jedine OpenID a budou vlastne na vsech webech "neustale prihlaseni".
Zatim mi teda prijde, ze "postaci", kdyz cilovy server nebude vuci CSRF zranitelny a ze napriklad rozesilat spamy tak asi nepujde, protoze takhle nejde posilat POST pozadavky, coz budou ty postovni aplikace nejspis vyzadovat, ale nerad bych se mylil.
Nejaky komentare k tomu, co prehlizim (at uz ve smyslu, ze je to cely blbost, nebo ve smyslu, ze pujdou delat jeste horsi veci)? |
Registrace nového uživatele 
