OAuth 2009.1 – Der Ernstfall?

Heute ist die erste „Sicherheitslücke“ in dem Protokoll OAuth bekanntgeworden. Da OAuth auch die Grundlage für OpenMicroBlogging und entsprechend wichtig für identi.ca, Laconica und mnw ist, habe ich mich näher mit dem Problem beschäftigt.

Wozu OAuth?

Ein Beispiel: Wir stellen uns eine Webanwendung „imgPusher“ vor. Sie soll Benutzern beim Hochladen von Bildern in die Wikipedia helfen, in dem sie bsw. mehrere Bilder zusammen hochlädt, die Beschreibung besonders einfach eingeben lässt oder was auch immer. Zum Hochladen muss der Benutzer in der Wikipedia angemeldet sein – einerseits, weil er das Bild unter seinem Namen hochladen möchte, andererseits, weil die Wikipedia kein anonymes Hochladen von Dateien erlaubt. Das klassische Vorgehen würde darin bestehen, dass der Benutzer seinen Namen und sein Passwort bei „imgPusher“ hinterlegt, so dass sich „imgPusher“ unter seinem Namen in der Wikipedia einloggen und die Dateien hochladen kann. Dieses Vorgehen stellt jedoch ein Sicherheitsproblem dar; der Benutzer muss einem wahrscheinlich unbekannten Programm sein Passwort anvertrauen, er kann nicht nachvollziehen, ob das Passwort nicht bsw. gespeichert und dem Betreiber der Anwendung zugänglich gemacht wird.

An dieser Stelle setzt OAuth an. Wenn die Wikipedia und „imgPusher“ OAuth verwenden würden, müsste der Benutzer sein Passwort nicht weitergeben. Stattdessen würde „imgPusher“ den Benutzer nur nach seinem Benutzernamen fragen. Danach würde ein Request token generiert und der Benutzer auf eine Wikipedia-Seite weitergeleitet werden. Dort würde sichergestellt werden, dass der Benutzer gerade eingeloggt ist; danach würde Wikipedia ihn fragen, ob er „imgPusher“ wirklich die Erlaubnis erteilen möchte, Bilder unter seinem Namen hochzuladen. Wenn er diese Frage bejahen würde, würde der Benutzer zurück zu „imgPusher“ geleitet werden. Nun könnte „imgPusher“ den Request token in einem Access token umwandeln und mit diesem unter dem angegebenen Benutzernamen Bilder hochladen, ohne dass der Benutzer das Passwort auf einer dritten Seite hätte eingeben müssen. (Leider unterstützt Mediawiki OAuth noch nicht und dieses Beispiel ist rein fiktional.)

Zusammengefasst: OAuth ermöglicht Benutzern, Drittanwendungen bestimmte Aktivitäten mit ihrem Account zu erlauben. Dabei muss der Benutzer sein Passwort nicht rumgeben und kann – so der Hauptdienst es vorsieht – sogar genau festlegen, was die Drittanwendung darf und was nicht.

Das Problem

Eran Hammer-Lahav hat die heute bekanntgewordene Sicherheitslücke detailliert in seinem Blog beschrieben. Es wird deutlich, dass kein technisches, sondern ein Design-Problem besteht. Eine kurze technische Beschreibung des Problems soweit ich es verstanden habe: Ein Benutzer A, der Angreifer, verwendet „imgPusher“ aus dem obigen Beispiel. „imgPusher“ verlangt eine Authorisierung und leitet zur Wikipedia weiter. Diese URL wird von A an Person B, das Opfer, weitergegeben – möglich ist das bsw. durch einen Blogbeitrag, der eine Anwendung empfielt. B ist in der Wikipedia angemeldet oder wird jetzt dazu aufgefordert. Danach wird sie von der Wikipedia gefragt, ob sie der Anwendung „imgPusher“ wirklich erlauben möchte, Bilder unter ihrem Benutzernamen hochzuladen. B bestätigt dies und wird zurück zu „imgPusher“ gelenkt. An dieser Stelle kann A den vorher an B übergebenen Request token in einen Access token umwandeln lassen und hat damit eine „imgPusher“-Sitzung, die einen gültigen Access token für B‘s Wikipedia-Account hat.

Einfluss auf OpenMicroBlogging

OAuth ist Grundlage für OMB. Alle OMB-Nachrichten sind auch OAuth-Nachrichten. Wenn ein Benutzer die Nachrichten einer anderen Person abonniert, durchläuft er einen kompletten OAuth-Prozess. Dabei gibt er der anderen Person das Recht, auf die OAuth-Ressource „Nachricht versenden“ zuzugreifen. Ein konkretes Beispiel: Person A von Dienst X möchte die Nachrichten von Person B vom Dienst Y empfangen. Sie gibt also die Adresse ihres Profils, abstrakt „http://X/A“, auf dem Profil von B ein. Dienst Y leitet Person A auf den eigenen Server X weiter, wo sie gefragt wird, ob sie wirklich Person B vom Dienst Y abonnieren möchte. Wenn sie bestätigt, erteilt X dem Dienst Y die Erlaubnis, auf die OAuth-Ressource „Nachricht versenden“ von Person A zuzugreifen.

Die aufgedeckte Angriffsmöglichkeit stellt bei dieser Verwendung von OAuth keine Gefahr dar. Ein analoges Angriffs-Beispiel sieht wie folgt aus: Ein Benutzer C vom Dienst Y gibt Profil „http://X/A“ auf Y ein und erhält damit eine URL. Diese schiebt er X unter – hier wird bereits das erste Problem deutlich: OMB speichert in dieser URL, welcher Benutzer abonnieren möchte. Daher muss der Angriff auf eine konkrete Person ausgerichtet sein. Hat X nun diese URL aufgerufen, kommt sie zu einer Seite, auf der Dienst X (ihr eigener) sie fragt, ob sie wirklich den Benutzer C abonnieren möchte. Damit ist der Angriff gescheitert, denn X sieht, wen sie abonnieren – technisch gesprochen Zugriff auf ihre Ressourcen erlauben – soll. Aus meiner Sicht hat OAuth 2009.1 daher keinen Einfluss auf OpenMicroBlogging.

Thema: Software, Virtuelle Gesellschaft | Stichwörter: , , , , , , 27 Kommentare »

27 Kommentare für „OAuth 2009.1 – Der Ernstfall?“

  1. Dridde sagt:

    So wirklich habe ich das Angriffsszenario noch nicht durchstiegen, glaube ich. Ich als Person B bekommen von irgendwo her einen URL und werde dann von meinem OAuth unterstützendem Dienst gefragt, ob ich imgPusher erlauben möchte, mit meinem Account Dinge zu tun.

    Okay, aber dazu muss dann doch im RequstToken bzw der URL der Nutzername von imgPusher drinstehen. Was sollte mich nun also dazu veranlassen, das zu genehmigen? Ich sehe, analog zu OMB, doch, wen ich dort aboniere bzw. zugreifen lasse. Wird durch diesen Aufruf dann quasi eine Antwort, das Access Token generiert und mein Dienst sendet dann eine Nachricht an den Urheber des Request Tokens mit den Daten “Nutzer B hat diesen Request Token für dich positiv beantwortet?”
    Da habe ich doch das gleiche Problem wie beim OMB, ich sehe ja, wen ich da berechtigen will. Wenn ich den Request nicht selbst ausgelöst habe, sollte ich da dann nicht erlauben ;)
    Der Designfehler ist jetzt, dass ich so nicht zuordnen kann, woher der Request kommt, oder? Gut, da sollte man sicher was dran machen. Die “Lücke” funktioniert doch scheinbar aber nur im Zusammenhang mit social engineering.

    • Adrian Lang sagt:

      Das Problem ist, dass bei klassischen OAuth-Anwendungen nicht der Consumer-Benutzername bei der Abfrage auf dem Provider angezeigt wird. Da steht nicht „Möchtest du Benutzer A auf imgPusher das Recht erteilen?“, sondern „Möchtest du imgPusher das Recht erteilen?“. Üblicherweise gibt es bei den Drittanwendungen („imgPusher“) auch gar keine Benutzernamen, sondern nur Sessions.

  2. mamud1980 sagt:

    Всем косметика! крымская натуральна косметика – Крымская роза , Царство ароматов , Дом природы , Алуштенский эфиромаслечный завод +79780250557 +79787413892 отпом и в розницу http://krymcosmetics.ru шампуни , крема , гель , мыло натуральное.

  3. zerkalGaf sagt:

    широко известная зеркальная мастерская предлагает продажу стекла и зеркал. качественный стеклянный письменный стол. двери стеклянные и стеклянные столешницы в Москве по умеренной стоимости. Источник: http://zakaz-zerkal.ru/ – стяклянный стол по своим размерам

  4. steklGaf sagt:

    широко известная зеркальная мастерская предлагает купить новые зеркальные дверцы. качественная резка стекла по шаблону, а также ремонт стеклянных столов в столице по низким расценкам. Источник: http://stek-m.ru/index2-097.html – стеклянный переговорный стол

  5. bogaGaf sagt:

    Магазин легальных курительных смесей и миксов. Источник: Купить микс соль скорость

  6. NikitaHymn sagt:

    Добрый день!
    Хотелось бы начать именно такую тему,т.к. актуально.
    У меня среднее мед. образование,много лет работала в реанимации,параллельно закончила в Сокольниках курсы по массажу(1996г),повышала квалификацию 2000 и 2005г.,получила лицензию,работала частно 14 лет.
    Сейчас отсидела в декрете 3 года,да и здоровье не то уже для массажа – там выкладываешься по полной!
    Решила переквалифицироваться на косметолога.Стала мониторить учебные заведения.
    Натолкнулась на сайт(страничка) учебного заведения Озонет ком юа...
    Вроде от дома не далеко и расписание подходит.Да и цена не велика.Выдают “свидетельство межд. образца”)))
    Приехала…..И честно говоря – чуть не упала…
    Грязная,не ремонтированная квартирка на 1 этаже в 5-ти этажке, даже без вывески,протсо чёрная жел. дверь,в одной комнате стоят массажные столы(4шт),сдидят дамы и пьют чай.Пили чай 30мин. и трепались ни о чём…
    Потом начался МАССАЖ.Без анатомии(спросила почему не дают теорию,сказали – что не нужна она,лучше сразу руку набивать),то есть теории вообще практически нет.Нет и людей с мед. образованием.преподаватель – молоденькая девочка-армянка,которая вообще ничего не знает.Только движения и всё…
    Я от туда убежала,хорошо,что не оплатила)))
    Теперь учусь(осталось 2 мес) в институте Восст. Медицины.Радуюсь,т.к. по сравнению с тем,что я видела – это уровень.И преподавание – на высоком уровне…Гоняют по всем мед. дисциплинам,дерматологии,анатомии,санитарии…
    Вот я и думаю – кого они там выпускают – куда они пойдут работать,и бедные люди,которые к такис “косметологам” попадут…..

  7. BabeM6 sagt:

    VedMed Software is a simple and useful sleep machine, which will provide you and your family a healthy restful sleep. You’ll renovate every night! http://www.gkclab.com/engl/vedmed/vedmed.html

  8. burGaf sagt:

    Бурение скважин на воду в Перми и Пермском крае – Аквагеология, г. Пермь – (342) 202-99-49. Бурение скважин на воду в Перми, Пермском крае, регионах России, системы автономного водоснабжения и канализации ТОПАС, цены от 1300 р. Источник: http://xn--90aiaan0adsegz1j.xn--p1ai/obustrojstvo-skvazhin.html – Кессон для скважины в Перми

  9. vodaGaf sagt:

    Бурение скважин на воду в Перми – Буровые работы в Перми. Услуга бурение скважин на воду была актуальна только для жителей деревень и населенных пунктов, а теперь для всех. Источник: http://bureniepodvodu.ru/ – Бурение скважин под воду в Перми

  10. FallSok sagt:

    Более 10ГБ инфы для fallout: возможность скачать fallout все части, история fallout, статьи fallout, форум follout, фоны на тему fallout, истории фанатов fallout, видео fallout, музыка fallout, прохождение fallout, новости fallout.

    Перейти: http://falloutfanatics.ru

  11. xankala sagt:

    Купил давеча встраиваемую мойку Blanco могу сказать весь доволен приобретением, советую всем поручение делал помощью сайт интернет магазина, обработали быстрее чем я думал, консультанты на сайте вежливые и отзывчивые,приятно было.)) Вот ссылка на собственноручно сайт,кому надо http://new-films2016-2017.ml/film/41172/

  12. xankala sagt:

    Купил внове встраиваемую мойку Blanco могу сказать полностью доволен приобретением, советую всем поручение делал чрез сайт интернет магазина, обработали быстрее чем я думал, консультанты на сайте вежливые и отзывчивые,нравиться было.)) Вот ссылка на самопроизвольно сайт,кому нужно http://new-films2016-2017.ml/film/41172/

  13. dfgkjekln sagt:

    AC-DC Преобразователи DC-DC Преобразователи Коммутаторы и ключи Драйверы MOSFET и IGBT Драйверы дисплеев Драйверы изоляторов шин данных Драйверы светодиодов Драйверы электродвигателей Интерфейсы CAN Интерфейсы RS-232 Интерфейсы RS-422, RS-485 Интерфейсы прочие Источники опорного напряжения Компараторы Контроллеры интерфейсов Микроконтроллеры Микропроцессорные супервизоры Микропроцессорные схемы Микросхемы SRAM Микросхемы АЦП Микросхемы для бытовой РЭА Микросхемы для импульсных источников питания Микросхемы для обработки видео изображений Микросхемы для телекоммуникации Микросхемы для телефонии Микросхемы зарядных устройств Микросхемы памяти EEPROM Микросхемы памяти EPROM Микросхемы памяти FLASH Микросхемы программируемой логики Микросхемы стандартной логики Микросхемы ЦАП Мультиплексоры Операционные усилители Стабилизаторы напряжения и тока Транзисторные сборки Дарлингтона Усилители инструментальные Усилители низкой частоты Фильтры (микросхемы) Цифровые потенциометры Часы реального времени, таймеры ШИМ-контроллеры Микросхемы прочие Генераторы Дешифраторы Запоминающие устройства Преобразователи сигналов Синтезаторы звуковых мелодий Сумматоры Счетчики УВЧ и УПЧ Усилители прочие Устройства управления источниками питания Формирователи импульсов Контроллеры синхронного выпрямителя (Контроллеры SR) Контроллеры балластов ламп (Контроллеры освещения) Преобразователи электрических величин 89185540950, e-mail:940950@mail.ru

  14. nik sagt:

    Краснодарский край, Тихорецкий район, ст. Фастовецкая продам дом , общей площадью 73,5 кв.м, на земельном участке 7,6 сот. кирпичный в тихом месте 5 км от города Тихорецка, в центре населенного пункта. Развитая инфраструктура: школа, детский сад, до автобусной остановки 5 мин. пешком, спальный район. В дом проведены все коммуникации (газ, вода, электричество), стоят счетчики. Дом построен в 1980 году, стеклопакеты. Во дворе кирпичные хозяйственные постройки, хозблок, летняя кухня, виноград, плодовые деревья, санузел совмещенный. Цена договорная.

  15. reloPUs sagt:

    Союз собственников нежилых помещений. новый юридический адрес и доступная каждому возможность оформить юридический адрес. В спектр предоставляемых услуг входит регистрация юридического адреса, а также изменение и аренда юридического адреса в столице России по умеренным ценам.http://new-rent.ru/ – сснп

  16. BokPUs sagt:

    БК строй строительные материалы. постоянно в наличии широкий ассортимент качественных строительных материалов с оперативной доставкой. кирпич керамический, блок рядовой, бордюры и поребрик по умеренным ценам.http://bkmarket.kz/ – Профиль для гипсокартона

  17. AdvoPUs sagt:

    Юрист по уголовным (представление интересов потерпевших), гражданским, арбитражным делам. Источник: http://advokat-markin.ru/ – советский районный суд

  18. Seleznevaruita sagt:

    Лучшие цены на перелеты Путешествовать с нами просто, удобно и выгодно! Мы собираем самые дешёвые тарифы
    более 700 авиакомпаний мира и предлагаем вам возможность удобного выбора и покупки авиабилетов.
    На этой странице представлены тарифы по наименьшей цене на ближайшие 6 месяцев по самым популярным направлениям.

  19. sir-ivanst sagt:

    Ездить с Biletix легко, удобно и выгодно!
    В этом разделе мы находим для вас авиабилеты по самым минимальным ценам
    больше семисот авиаперевозчиков мира и предлагаем возможность удобного выбора
    и выгодной покупки. Здесь вы найдете минимальные тарифы
    на ближайшие полгода сообразно самым популярным линиям,
    а гибкие фильтры помогут вам определиться с выбором места новогоднего отдыха
    и датами полета. Покупая авиабилеты заблаговременно, вы фиксируете цены
    и страхуете себя от возможных потерь из-за колебаний курса валют.
    Экономьте авиабилеты с новогодними скидками

  20. SevPUs sagt:

    ИП Косенков Александр Александрович зарегистрирован 27 ноября 2014 г. регистратором ИНСПЕКЦИЯ ФЕДЕРАЛЬНОЙ НАЛОГОВОЙ СЛУЖБЫ ПО ЛЕНИНСКОМУ РАЙОНУ Г.СЕВАСТОПОЛЯ. ИП присвоены ИНН 920300070119 и ОГРНИП 314920433100055 Мошенник!!! будьте осторожны!!! Представляется строительной компанией. Набирает у посавщиков материалы в долг и не расчитывается. Бросает взятые объекты. Трубки не берет.

  21. sstass13661 sagt:

    ВНИМАНИЕ ! Специальное новогоднее предложение !
    Гарантируем заработок после прохождения тренинга 15000 – 100000 руб.
    Учится никогда не поздно !!! https://clck.ru/AQECT

  22. 13sstass598 sagt:

    Это пожалуй, единственное в Рунете
    пошаговое, практическое руководство на сегодняшний день, которое проведет Вас
    от тупика и безденежья
    до сотен заказов ежедневно максимально простым путём: https://clck.ru/ASmAf

Kommentar schreiben

Bedenke, dass du deinen Kommentar unter der Lizenz Creative Commons Attribution-Share Alike 3.0 Germany veröffentlichst. Kommentiere daher nur, wenn du mit dieser Lizenz einverstanden und Urheber_in des Textes bist.

Leider funktioniert das Kommentieren in Chromium und Chrome im Moment nicht.

Hire Adrian Lang – C, Debian, DokuWiki, git, GNU/Linux, HTML, JavaScript, jQuery, Node.js, PHP, Web, Wikipedia