Świat Webdesign

Microsoft CardSpace złamana!!

Posted by mroszak under Świat stron www

Studenci Sebastian Gajek i Xuan Chen, oraz Jorg Schwenk (profesor na Ruhr University w Bochum) poinformowali, iż udało im się złamać technologię zabezpieczającą Microsoft CardSpace, która jest odpowiedzialna za zwiększenie bezpieczeństwa dla danych personalnych surfujących po Internecie. Ujawnili, iż może dojść do przejęcia wysyłanego przez firmę ISP tokena informacyjnego identyfikującego użytkownika.
Firma z Redmond uważa, że technologia CardSpace może wpłynąć na zredukowanie problemu związanego z wykradaniem danych przez Sieć. CardSpace jest oferowane z systemem operacyjnym Windows Vista współpracującym z przeglądarką internetową.
Gdy użytkownik zidentyfikuje swoją „kartę identyfikacyjną”, która zawiera imię, nazwisko, adres, itp. i po połączeniu się ze stroną proszącą o jej wysłanie, następuje przekazanie danych identyfikujących internautę (o ile ten wyrazi zgodę na ten transfer).

Serwis może prosić o kartę osobistą (tylko część danych jest dostępna) lub firmową (dowolne dane są dostępne). Zapisane informacje na kartach są szyfrowane.
Podczas procesu autoryzacji użytkownicy polegają na identyfikatorze operatora ISP, wówczas wysyłany jest token identyfikujący, właśnie wtedy informacje mogą zostać przechwycone. Ale, aby całość poprawnie zadziałała należy przekierować ruch internetowy użytkownika na złośliwy serwer www (należy zmodyfikować ustawienia DNS).
Przechwycony token może zostać wykorzystany do uzyskania dostępu do szyfrowanych informacji znajdujących się na „oryginalnej stronie”.

Microsoft nie ustosunkował się do opisanego problemu.

źródło: scmagazineus.com