Проблемы в Passport authentication service

Дата публикации:
15.08.2001
Дата изменения:
17.10.2006
Всего просмотров:
1404
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Навязываемая услуга сети Microsoft - Passport authentication service - была затребована для изучения двумя старшими исследователями корпорации AT&T. После исследования авторы положительно охарактеризовали Паспорт, как интересную честолюбивую модель, но предупредили, что "система представляет существенную опасность для пользователей, которая не отражена достоверно в прилагаемой технической документации". Отчет был представлен Авелем Рубином, членом совета USENIX и соавтором Руководства по Сетевой Защите и Дейвом Корманом, штатным сотрудником исследовательской лаборатории AT&T. "Попытка Паспорта к моделированию комплекса процессов в едином предъявляемом пароле, в наложении с ограничениями существующих технологий просмотра, ведет к компромиссам, которые создают реальные риски". Корпорация Microsoft восприняла заявление с неким раздражением: в отчете Рубина и Кормана говорится, что, если не будут приняты изменения в модели SSL, например, то при легализации систем, зависящих от нее, данный тип Паспорта будет неизбежно содержать дефекты. Также, Microsoft критикуется за провал в разработке удостоверения, за неудачу предотвращения пиратской торговли ворованными деталями при использовании переадресации, за возможность самой HTTP- переадресации или фальсификации DNS-записей. Все это – уже готовые уязвимости торговых сайтов, только в смеси с тем, что теперь сеть из многих торговцев будет зависеть от Паспорта, а Паспорт один, что является очень важным с технической точки зрения Microsoft. Исследователи делают некоторые рекомендации, включая использование ротационных ключей для шифрования небольших фрагментов данных о предыстории обращений данного пользователя к WWW-серверу, автоматически создаваемых сервером на машине пользователя, использование системы пароль-отзыв вместо Паспорта, обеспечение SSL для всех протоколов. Компания Microsoft перенесла срок использования Паспорта на апрель, для того, чтобы все проекты Microsoft, в том числе и Паспорт, получили лицензии во всех филиалах, чтобы затем использовать содержание по своему усмотрению, в том числе и иметь право эксплуатировать все имеющиеся патенты.
или введите имя

CAPTCHA