Pull to refresh

Comments 7

сама Apple не уловила такой критический баг в процессе разработки и тестирования
Ну если они за этот год сэкономили на тестировщиках больше 100 тыс., то они в плюсе.
Или как я сэкономил $ 100 000
Бхавук Джайн мои деньги не получит точно, потому что в моей системе голосований все правильно — открытый ключ он на то и открытый, что его видят все, но я то пользуюсь для себя закрытым ключом!
Вот только до сих пор не знаю куда б свою систему защиты входа на сайт применить, я же не Эпл и не банк :)))
Захабрят ли меня только лишь за то, что покажу свое demo без детального описания всей системы?
Статью написал, ожидаю «песочницу».
Мое demo — nocors.000webhostapp.com/forum2020/index.php
(предупреждение: не пытайтесь сразу что то изучать в/на странице под катом — один неверный запрос=бан на сутки для «замедления» изучающих, сначала просто посмотрите саму страницу, там контента совсем немного, исключительно для проверки что все работает).
Изучил я этот баг — он не эксплуатируемый. Дисклеймер — я автор sakurity.com/oauth и знаю безопасность оауса хорошо

Имейл в токене может быть любым и это не круто, но никак не поможет войти в сторонние приложения типа айрбнб, просто потому что они полагаются на уникальный айди а не на имейл. Имейлы меняются и документация специально подчеркивает что их использовать не стоит. У фейсбук коннекта те же правила.

Подробнее — twitter.com/homakov/status/1267866792820649985

Человек тыкался в пост запросах, нашел отсутствие проверки на принадлежность почты а кто то в эпл долго не разбираясь отдали ему 100к для пиара. Другого объяснения я не вижу.
Так ведь отсутствие проверки было на стороне apple. Уязвимость — критическая. А то, что ее не нашли до сих пор — это же вопрос последний.

Вспомнилось, что было что-то похожее пару лет назад. Но там суть была в том, что имея доступ к аккаунту пользователя какого-то oauth-провайдеру (linkedin, fb уже не помню точно), можно было получить доступ к сервису, где атакуемый аккаунт имел тот-же емейл, что и аккаунт oauth, но никогда не пользовался последним. Может это было в какой-то из ваших статей.
В моих статьях конкретно этого не было, но это очевидно что нельзя разрешать левым провайдерам входить по имейлу юзеров которые об этих провайдерах даже неслышали. Пример admin@site.com, он уж точно не хочет чтобы эпл вошел в его админку.

Уязвимость НЕ критическая а косметическая. Ни для юзеров которые вошли через эпл (тк каноническая имплементация смотрит на sub aka apple_user_id) ни для юзеров которые не пользовались эплом (тут сервис сам себе буратино если разрешил войти эплу в чужой аккаунт).

Ни в одном из сценарий эпл не нарушил ранее обещанную модель безопасности. Только кривые имплементации тут виноваты и должны платить. Найти такие не составит труда например зарегайтесь с одним имейлом в саундклауде и эпле потом войдите через эпл в саундклауд. Пароль не требуется = виноват саундклауд. Эпл максимум 5к должен был отсягнуть за этот косметический баг. Просто он состоит из двух сторон, где саундклауды виноваты на самом деле.
Sign up to leave a comment.

Other news