zurück zum Artikel

Durch einen Fehler im benutzten Protokoll war es möglich, dass ein präparierter Server eines Drittanbieters sich unter der Maske eines Anwenders bei einem anderen Dienst anmelden konnte.

Google hat nach Hinweisen auf ein Sicherheitsproblem [1] in seinem SAML Single Sign-On (SSO) Service [2] für Google Apps die Arbeitsweise des Dienstes geändert. Administratoren und Entwickler von anderen Anbietern, die Googles SSO nutzen, können unter Umständen gezwungen sein, ihre Identity Provider zur Authentifizierung zu überarbeiten.

Zuvor war es laut einem Bericht einer Gruppe von Sicherheitspezialisten durch einen Fehler im benutzten Protokoll möglich, dass ein präparierter Server sich unter der Maske eines Anwenders bei einem anderen Dienst anmelden konnte.

Siehe dazu auch:

• Google SAML Single Sign on vulnerability [3], Vulnerability Note VU#612636 des US-Cert
• Analysis of SAML 2.0 Web Browser Single Sign-On: Breaking the SAML-based Single Sign-On for Google Apps [4], Fehlerbericht des Artificial Intelligence Laboratory

(dab [5])

URL dieses Artikels:
https://www.heise.de/-204553

Links in diesem Artikel:
[1] http://www.ai-lab.it/armando/GoogleSSOVulnerability.html
[2] http://code.google.com/apis/apps/sso/saml_reference_implementation.html
[3] http://www.kb.cert.org/vuls/id/612636
[4] http://www.ai-lab.it/armando/GoogleSSOVulnerability.htmlFormal
[5] mailto:dab@ct.de

Copyright © 2008 Heise Medien