OpenIDにフィッシングの危険発覚

DNSキャッシュポイズニングの脆弱性の影響で、「OpenID」の認証システムが危険にさらされているという。 最近問題になっているDNSキャッシュポイズニングの脆弱性に関連して、シングルサインオンに使われる認証システム「OpenID」の弱点が指摘されている。 Sun Microsystemsのロビン・ウィルトン氏は、ブログでこの問題について解説。OpenIDはDNSシステムに依存しているため、根幹となるDNSインフラがキャッシュポイズニング攻撃を受けると、OpenIDの発行や認証を担う「OpenIDプロバイダー」（OP）と、OpenID対応サイトの「Relying Parties」（RP）の間で正規サイトと偽サイトの区別ができなくなるだろうと指摘した。 Googleのセキュリティ担当者ベン・ローリー氏とケンブリッジ大学の研究者リチャード・クレイトン氏も、この問題についてアドバイザリーを公開し

[itochan]

「さまざまなOPのTLSサーバ証明書で暗号強度の弱い鍵が使われている」のが原因で、「こうした弱いTLS認証に対応する非公開鍵を攻撃者が見つけ、（OPの）偽サイトを開設」できるんだそう。　　OPがまともなら問題なし

[ryouchi]

信頼できるサイトのURIさえもDNSが書き換わっていれば、悪意のあるサイトに誘導されちゃうってことなのかな？ うーむ、openIDって今ひとつよくわかんないな

[tsupo]

根幹となるDNSインフラがキャッシュポイズニング攻撃を受けると、OpenIDの発行や認証を担う「OpenIDプロバイダー」と、OpenID対応サイトの「Relying Parties」の間で正規サイトと偽サイトの区別ができなくなる

[ys0000]

早速飛び火した模様。信頼できるサイトでIDを取得するのは第一で、でもそれだけじゃ足りないのか。難しい問題だ。

[oinume]

debian使ってなくってよかったって初めて思った。

[ag-commerce]

DNSキャッシュポイズニングの脆弱性の影響で、「OpenID」の認証システムが危険にさらされているという。

[gorn]

DNS に依存していれば、DNS が信用できない状況下ではそのサービスも信用できない状況になるわな。