Actualidad

Mozilla alerta de un fallo de seguridad en Persona

Una vulnerabilidad, encontrada recientemente en una función basada en OpenID de Persona, ha obligado a la compañía a recomendar a los desarrolladores web que comprueben sus trabajos basados en librerías OpenID, para evitar posibles problemas.

Mozilla Persona permite a los usuarios verificar la propiedad de una o más direcciones de correo electrónico y luego utilizar esas direcciones para autenticarse en otros sitios web. Los usuarios tienen que recordar sólo su contraseña de cuenta de Persona, porque una vez que se registran en el servicio y se comprueba su identidad, ya pueden identificarse con un par de toques de ratón en cualquier site habilitado para ello.

Para verificar las direcciones de correo electrónico en el servicio Persona, los usuarios deben pinchar en un enlace, que es enviado a sus direcciones de correo, excepto para direcciones de Gmail y Yahoo que son comprobadas a través de lo que Mozilla denomina “Identity Bridging”, una función basada en el protocolo de autenticación OpenID.

La vulnerabilidad encontrada se sitúa precisamente en esta función de enlace de identidad y ha sido detectada por tres investigadores en seguridad de la Universidad de Trier en Alemania, que la califican de seria. El fallo, reportado a través del programa de detección de errores de la propia Mozilla, ya está solucionado, pero podría haber permitido a un pirata autenticarse en sitios web habilitados para Persona, con direcciones de correo de usuarios de Gmail o Yahoo.

En cambio, esta vulnerabilidad no tenía nada que ver con la seguridad de las cuentas de correo de Gmail o Yahoo y sólo afectó al servicio Persona y a los sitios web habilitados para utilizar este sistema de autenticación, subraya Michael Coates, director de seguridad en Mozilla en un post. Los primeros parches se desplegaron el viernes pasado y otros adicionales el martes de seguridadesta semana, afirma el directivo.

El problema procede del incorrecto funcionamiento de dos librerías OpenID de terceros, lo que significa que otros desarrolladores que utilizan OpenID podrían haber cometido los mismos errores.

El desarrollador de Mozilla, Lloyd Hilaiel, explica dos escenarios de ataque posibles en otra entrada de blog. "Hemos encontrado en una implementación popular de OpenID falta de rigor en la extracción de valor que podría dar lugar a vulnerabilidades de este tipo", remata Hilaiel.

Los autores de librerías OpenID deben realizar una validación rigurosa de los valores que ofrece el proveedor de identidades para saber si las bibliotecas utilizan valores firmados o no, asegura. Los propietarios de sitios web que utilizan OpenID también deben revisar sus implementaciones para asegurarse de que los valores de identificación en los que se basan las respuestas OpenID también están firmados.

Esta es una información de Lucian Constantin. IDG News Service

 

 

 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper