#2:
#1 No son raros los sitios que te permiten autenticarte con tu cuenta de Google o Facebook ,(me vienen a la cabeza Cousera.org o Miriadax.net) por lo que un usuario podría caer al darse de alta en una web infectada
Thanks for your bug report and research to keep our users secure! We've investigated your submission and made the decision not to track it as a security bug.
This report will unfortunately not be accepted for our VRP. Only first reports of technical security vulnerabilities that substantially affect the confidentiality or integrity of our users' data are in scope, and we feel the issue you mentioned does not meet that bar
Bummer, we know. Nevertheless, we're looking forward to your next report! To maximize the chances of it being accepted, check out Bughunter University and learn some secrets of Google VRP.
#4 Si lo entiendo bien, esa URL maliciosa la pondría el propietario de la web X en la que quieres loguearte, ¿no? Es decir, una vez que has entrado en la web X, ¿por qué no te redirige directamente a esta URL maliciosa en lugar de marearte con el logueo de tu cuenta de Google?
#7 Efectivamente, y bueno, los motivos podrían ser varios, si el sitio te redirige directamente te podrías dar cuenta, sin embargo mediante la autentificación puede ser más raro identificarlo. Pero vamos estos son supuestos, jamás he visto que en una autentificación Oauth 2 pasen estas cosas...
Eso no es una vulnerabilidad. Es el usuario quien debe tener cuidado con los enlaces con los que accede a sus cuentas. Y por cierto, Menéame también hace lo mismo cuando te logueas
¿ Tiene sentido esto ? No le veo ninguno. No sé por qué le llaman bug.
Cualquiera puede subir a google docs ya un archivo infectado y cualquiera puede bajárselo. El que se identifique alguien en cualquier sistema antes ni mejora ni empeora la situación.
Lo mismo para google docs que para cualquier otro sitio.
Para mi que se la han colado a genbeta. #3 y aquí es peor. No te descargas un archivo malicioso, pero quedas expuesto a recibir un ataque de cuñadeo.
Joder que artículo más simplista... (aun así meneo porque aunque parece obvio es bueno saberlo)
Pero imagino que esto será común en todos los login OAuth 2.0 por lo que no afectaría solo a google, sino a yammer y otras muchas más aplicaciones.
Por otro lado también es cierto que todo el mundo cuando se logea a estas plataformas suele hacerlo desde su página oficial, por lo que no debe existir problemas. Al margen de esto desconfiaría mucho de logarme a una plataforma como google desde otra de dudosa procedencia ...
#1 No son raros los sitios que te permiten autenticarte con tu cuenta de Google o Facebook ,(me vienen a la cabeza Cousera.org o Miriadax.net) por lo que un usuario podría caer al darse de alta en una web infectada
#2 Bueno, habría que ver que se entiende por "raro". Para mi Cousera.org o Miriadax.net serían raros porque desconozco completamente. Y por esa razón rehusaría mucho de logarme por esa vía. Y es que como comenta el meneo es muy sencillo poner una url maliciosa en cualquier autentificación Oauth 2: $client = new Google_Client();
$client->setAuthConfig('client_secrets.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'); → Basta con poner aquí la Url maliciosa https://developers.google.com/identity/protocols/OAuth2WebServer
Comentarios
Pues según Google, no es un bug ni un agujero de seguridad:
http://www.aidanwoods.com/blog/faulty-login-pages
Hey,
Thanks for your bug report and research to keep our users secure! We've investigated your submission and made the decision not to track it as a security bug.
This report will unfortunately not be accepted for our VRP. Only first reports of technical security vulnerabilities that substantially affect the confidentiality or integrity of our users' data are in scope, and we feel the issue you mentioned does not meet that bar
Bummer, we know. Nevertheless, we're looking forward to your next report! To maximize the chances of it being accepted, check out Bughunter University and learn some secrets of Google VRP.
#4 Si lo entiendo bien, esa URL maliciosa la pondría el propietario de la web X en la que quieres loguearte, ¿no? Es decir, una vez que has entrado en la web X, ¿por qué no te redirige directamente a esta URL maliciosa en lugar de marearte con el logueo de tu cuenta de Google?
#7 Efectivamente, y bueno, los motivos podrían ser varios, si el sitio te redirige directamente te podrías dar cuenta, sin embargo mediante la autentificación puede ser más raro identificarlo. Pero vamos estos son supuestos, jamás he visto que en una autentificación Oauth 2 pasen estas cosas...
Eso no es una vulnerabilidad. Es el usuario quien debe tener cuidado con los enlaces con los que accede a sus cuentas. Y por cierto, Menéame también hace lo mismo cuando te logueas
¿ Tiene sentido esto ? No le veo ninguno. No sé por qué le llaman bug.
Cualquiera puede subir a google docs ya un archivo infectado y cualquiera puede bajárselo. El que se identifique alguien en cualquier sistema antes ni mejora ni empeora la situación.
Lo mismo para google docs que para cualquier otro sitio.
Para mi que se la han colado a genbeta.
#3 y aquí es peor. No te descargas un archivo malicioso, pero quedas expuesto a recibir un ataque de cuñadeo.
¿Lo permite? Sin duda es una oportunidad de oro, hay que aprovecharla.
Joder que artículo más simplista... (aun así meneo porque aunque parece obvio es bueno saberlo)
Pero imagino que esto será común en todos los login OAuth 2.0 por lo que no afectaría solo a google, sino a yammer y otras muchas más aplicaciones.
Por otro lado también es cierto que todo el mundo cuando se logea a estas plataformas suele hacerlo desde su página oficial, por lo que no debe existir problemas. Al margen de esto desconfiaría mucho de logarme a una plataforma como google desde otra de dudosa procedencia ...
#1 No son raros los sitios que te permiten autenticarte con tu cuenta de Google o Facebook ,(me vienen a la cabeza Cousera.org o Miriadax.net) por lo que un usuario podría caer al darse de alta en una web infectada
#2 Bueno, habría que ver que se entiende por "raro". Para mi Cousera.org o Miriadax.net serían raros porque desconozco completamente. Y por esa razón rehusaría mucho de logarme por esa vía. Y es que como comenta el meneo es muy sencillo poner una url maliciosa en cualquier autentificación Oauth 2:
$client = new Google_Client();
$client->setAuthConfig('client_secrets.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'); → Basta con poner aquí la Url maliciosa
https://developers.google.com/identity/protocols/OAuth2WebServer
#2 o meneame
Viendo que Doubleclick que es posiblemente el servicio que más se usa para distribución de malware y es del propio Google, como mínimo, es una ironía.
Salu2