Google schließt Lücke in Single Sign-On for Google Apps

Durch einen Fehler im benutzten Protokoll war es möglich, dass ein präparierter Server eines Drittanbieters sich unter der Maske eines Anwenders bei einem anderen Dienst anmelden konnte.

10.09.2008, 11:46 Uhr

Lesezeit: 1 Min.

Von

Daniel Bachfeld

Google hat nach Hinweisen auf ein Sicherheitsproblem in seinem SAML Single Sign-On (SSO) Service für Google Apps die Arbeitsweise des Dienstes geändert. Administratoren und Entwickler von anderen Anbietern, die Googles SSO nutzen, können unter Umständen gezwungen sein, ihre Identity Provider zur Authentifizierung zu überarbeiten.

Zuvor war es laut einem Bericht einer Gruppe von Sicherheitspezialisten durch einen Fehler im benutzten Protokoll möglich, dass ein präparierter Server sich unter der Maske eines Anwenders bei einem anderen Dienst anmelden konnte.

Siehe dazu auch:

Google SAML Single Sign on vulnerability, Vulnerability Note VU#612636 des US-Cert
Analysis of SAML 2.0 Web Browser Single Sign-On: Breaking the SAML-based Single Sign-On for Google Apps , Fehlerbericht des Artificial Intelligence Laboratory

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Google schließt Lücke in Single Sign-On for Google Apps

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.