Nate Lawson, a Root Labs alapítójának és Taylor Nelson biztonsági szakértőnek az elmondása alapján bizonyos esetekben könnyedén kijátszhatóak a meglehetősen népszerű OpenID és az OAuth protokoll alapú autentikációk, amelyeket többek között olyan webszolgáltatások is használnak, mint a Twitter, vagy a Digg – írja a PC Advisor.
A nyílt szabványra és protokollokra épülő OpenID és OAuth hitelesítési módszer esetén az oldal üzemeltetői nem ismerik felhasználóiknak a jelszavait. Azokat egy külső fél tárolja, illetve az végzi a beléptetést is. Így a webszolgáltatások gazdáinak nem kell aggódniuk a látogatóik adataiért, mivel azokat teljes egészében a partnerük kezeli. Gyakorlatban ez a következőképpen néz ki: miután a felhasználó megpróbál bejelentkezni az OpenID vagy az OAuth segítségével, az adott oldal elküldi az adatokat a hitelesítő szervernek, amely utána csak annyit jelez vissza, hogy sikeres volt-e az autentikáció. Ha igen, akkor belépteti a felhasználót, ha nem, akkor az adatok újbóli megadását kéri.
E módszer azonban - a biztonsági kutatók elmondása szerint - a régebbi verzióknál könnyedén kijátszható, mivel sok esetben a hitelesítés során a szerver nem várja meg a jelszavak teljes karaktersorozatát, hanem az első rossz karakternél rögtön jelez. Márpedig így, ha a támadók megfelelően időzítenek - megvárva a szerver válaszát - ,könnyedén kitalálhatják a jelszavakat, karakterenként próbálkozva mindaddig, míg pozitív választ nem kapnak.
Természetesen azt a kutatók is elismerik, hogy e módszer meglehetősen nehézkes, mivel a hackereknek pontosan ki kell nanosecundumban mérniük azt az időt, amíg a távoli szerver válaszol a bejelentkezési kérésre. Eddig pontosan e miatt sokan úgy gondolták, hogy a válaszadási időintervallumot folyamatosan változtató mechanizmus (Network jitter) megjelenését követően ezen időzítéses támadások már nem is kivitelezhetőek, ám a kutatónak mégis több rendszerbe sikerült bejutniuk, áttörve a jitter védelmen is.
A két biztonsági szakértő egyelőre nem kívánta elárulni, hogy pontosan mely szolgáltatások érintettek. Elmondásuk szerint már jelezték a problémát a sérülékeny hitelesítést használó szoftverfejlesztőknek, akiknek a nevét csak akkor hozzák nyilvánosságra, miután már befoltozták a rést. Azok kijavítása egyébként meglehetősen egyszerű, mindössze hat plusz sort igényel az algoritmusban - Nate Lawson elmondása alapján. További részleteket a hónap végén tartandó Black Hat biztonsági konferencián árulnak majd el.
