ilustrasi (foto : Google)
WASHINGTON - Protokol log in tunggal yang biasa digunakan untuk mengakses akun Facebook atau Google, menderita cacat keamanan yang bisa dimanfaatkan oleh para penipu.
Diwartakan Macworld, Kamis (29/3/2012), para peneliti dari Indiana University dan Microsoft Research mengatakan bahwa, mereka menemukan beberapa cacat serius pada OpenID dan sistem sign intunggal yang digunakan Facebook.
Bukan hanya Facebook, cacat tersebut juga berlaku pada implementasi sistem serupa di beberapa situs populer. Misalnya Google dan Paypal yang menggunakan OpenID.
"Hal yang jadi masalah adalah sistem otentifikasi tersebut membuat hidup jadi lebih mudah, namun membuat manajemen keamanan jadi lebih menantang," ujar Xiao-Feng Wang, salah satu penulis penelitian.
Dengan metode log in tunggal, situs yang sedang dikunjungi melakukan percakapan dengan penyedia identifikasi akun. Situs akan meminta verifikasi untuk beberapa informasi, dan penyedia akun merespons dengan sinyal "ok" atau "tidak".
Dalam salah satu cacat yang ditemukan, tidak semua situs mengkonfirmasi bahwa verifikasi yang datang dari OpenID, telah menyertakan seluruh konfirmasi yang diminta. Misalnya nama pertama, nama keluarga, dan alamat email.
Para peneliti berhasil mengakses permintaan verifikasi tersebut, menghapus salah satu informasi yang diminta (misalnya alamat email), dan dengan mudah memasukkannya kembali dengan tanda "ok" dari OpenID.
Cara seperti ini membuat peretas yang tidak mengendalikan alamat email menuju ke akun pengguna situs, tetap bisa melakukan log in dan menyusup. Hal ini juga berarti berpotensi terjadi pembelian memakai akun orang yang disusupi. (fmh)
Diwartakan Macworld, Kamis (29/3/2012), para peneliti dari Indiana University dan Microsoft Research mengatakan bahwa, mereka menemukan beberapa cacat serius pada OpenID dan sistem sign intunggal yang digunakan Facebook.
Bukan hanya Facebook, cacat tersebut juga berlaku pada implementasi sistem serupa di beberapa situs populer. Misalnya Google dan Paypal yang menggunakan OpenID.
"Hal yang jadi masalah adalah sistem otentifikasi tersebut membuat hidup jadi lebih mudah, namun membuat manajemen keamanan jadi lebih menantang," ujar Xiao-Feng Wang, salah satu penulis penelitian.
Dengan metode log in tunggal, situs yang sedang dikunjungi melakukan percakapan dengan penyedia identifikasi akun. Situs akan meminta verifikasi untuk beberapa informasi, dan penyedia akun merespons dengan sinyal "ok" atau "tidak".
Dalam salah satu cacat yang ditemukan, tidak semua situs mengkonfirmasi bahwa verifikasi yang datang dari OpenID, telah menyertakan seluruh konfirmasi yang diminta. Misalnya nama pertama, nama keluarga, dan alamat email.
Para peneliti berhasil mengakses permintaan verifikasi tersebut, menghapus salah satu informasi yang diminta (misalnya alamat email), dan dengan mudah memasukkannya kembali dengan tanda "ok" dari OpenID.
Cara seperti ini membuat peretas yang tidak mengendalikan alamat email menuju ke akun pengguna situs, tetap bisa melakukan log in dan menyusup. Hal ini juga berarti berpotensi terjadi pembelian memakai akun orang yang disusupi. (fmh)
Very good dicussion about Metode Log In Google dan Facebook Rentan Serangan. I'm really pleased to read about it. Really I was looking forward to read about it. Thanks for this allocation.
BalasHapusHow to tips on