Veszélyben a biztonságosnak hitt oldalakon

Az idén tartandó Black Hat hackerkonferencián mutaják be, hogyan használható jelszófeltörésre a nyíltforrású OpenID-ben és az Oauth-ban rejlő biztonsági rés. Ha nem mond semmit a két név, nem meglepő, bár a szakértők által ismert protokollokról van szó: webes azonosítások során használják őket olyan ismert site-ok is, mint például a Digg vagy a Twitter.

Maga a biztonsági résre alapuló támadás nem új, inkább a kipécézett domainek azok. Időzített támadás (timing attack) néven ismert a jelenség, mely önmagában ugyan elég primitív, de használható támadási felületet biztosít a felhasználó-hitelesítési folyamat során, lehetővé téve a jelszavak feltörését. Annyira, hogy már az Interneten is veszélyt jelent.

Korábban erre nem volt példa, mivel úgy hitték, hogy a hálózati késleltetés miatt a Világhálón nem működik ez a támadási forma (vagy legalábbis minimálisra csökkent a sikeressége). Nate Lawson és Taylor Nelson azonban bemutatta, hogy erről szó sincs, így az olyan felhőalapú szolgáltatások, mint például az Amazon EC2, voltaképp erősen ki vannak téve egy ilyen támadásnak.

Ráadásul a felhőalapú szolgáltatásokon túl is gondot okoz a biztonsági rés – az összes olyan website áldozatul eshet, amelynél használnak PHP, Perl, Python vagy Ruby programnyelveket. Mivel ezek a webes fejlesztésben általánosan, széles körben használt platformok, gyakorlatilag szinte minden weboldalra (illetve használóikra) veszély leselkedik. Legalábbis abban az esetben, ha nem kaptak még javítást, amely egyébként mindössze hat sornyi kód beillesztését jelenti az érintett könyvtárakba.