Websecurity: Die "Covert Redirect"-Schwachstelle und OAuth 2.0 und OpenID
Eine neue Schwachstelle weckt Befürchtungen auf ein neues Desaster im Web: Die "Covert Redirect"-Schwachstelle in OAuth 2.0 und OpenID. Aber das ist bei weitem nicht zu befürchten.
Der "Covert Redirect" allgemein wurde bereits im ersten Teil beschrieben, hier geht es um seinen Einsatz in Verbindung mit OAuth 2.0 und OpenID.
Die Schwachstelle wurde von Wang Jing entdeckt, ist aber im Grunde schon Bestandteil der "OAuth 2.0 Threat Model and Security Considerations" in RFC 6819.