กูเกิลออกประกาศแจ้งเตือนนักพัฒนาว่าการเข้าถึงข้อมูลผู้ใช้ผ่าน OAuth 2.0 จะมีการเปลี่ยนนโยบายในวันที่ 5 ตุลาคมนี้ โดยหากผู้ใช้เปลี่ยนรหัสผ่าน จะยกเลิก OAuth Token ทั้งหมดไปพร้อมกัน
ปกตินักพัฒนาจะต้องรองรับกรณีที่ผู้ใช้ยกเลิก token อยู่แล้ว แต่การเปลี่ยนนโยบายเช่นนี้หากแอปพลิเคชั่นรองรับไว้ครบถ้วนแล้วก็น่าจะทำงานได้ถูกต้องเหมือนเดิม สำหรับผู้ใช้ทั่วไปก็จะไม่พบความเปลี่ยนแปลงใด
แนวทางการยกเลิกแอปหลังการเปลี่ยนรหัสผ่านเป็นแนวทางที่น่าสนใจสำหรับความปลอดภัย ที่ผ่านมาเราอาจจะเห็นบัญชีที่ถูกแฮกและไม่สามารถแก้ไขได้แม้จะเปลี่ยนรหัสแล้ว การใช้นโยบายแบบนี้ก็น่าจะช่วยให้เจ้าของบัญชีกำหนดความปลอดภัยกันได้ง่ายขึ้น
Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก
Jing เรียกช่องโหว่นี้ว่า "Covert Redirect" เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูกใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจากเว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้)
By: lew 
on 30 July 2012 - 22:40
Tags:
Topics:
มาตรฐาน OAuth ที่ได้รับความนิยมอย่างมากในตอนนี้และกำลังร่าง OAuth 2.0 อาจจะมีปัญหาใหม่ เมื่อ Eran Hammer หนึ่งในผู้เขียน OAuth เวอร์ชั่นแรกและมีส่วนร่วมในการร่างมาตรฐานใหม่มาตลอดสามปีประกาศลาออก และถอนชื่อออกจากมาตรฐาน
เขาระบุว่า OAuth 2.0 เป็นสิ่งที่น่าผิดหวังที่สุดในชีวิตการทำงานของเขา, มันเป็นมาตรฐานที่แย่, WS-* เป็นสิ่งที่แย่ ความแย่นี้อยู่ในระดับที่เขาไม่อยากให้ชื่อของเขาไปเกี่ยวข้องกับมันอีกต่อไป
มาตรฐาน OAuth เข้าไปเป็นคณะทำงานใน IETF โดยหวังจะเชื่อมระหว่างโลกของเว็บกับโลกองค์กรเข้าด้วยกัน แต่ในช่วงหลังทีมงานเดิมใน OAuth 1.0 ก็ลาออกเกือบหมด ทิ้งไว้แต่ทีมงานที่ถูกส่งมาจากองค์กรต่างๆ เท่านั้น
