SessionLock (Adida, 2008) and other web-based APIs, such as the Google dịch - SessionLock (Adida, 2008) and other web-based APIs, such as the Google Việt làm thế nào để nói

SessionLock (Adida, 2008) and other


SessionLock (Adida, 2008) and other web-based APIs, such as the Google and Facebook Platform APIs, but does not require SSL support from the RP websites.

7.3. Reference implementation

To evaluate the proposed defense mechanisms, we developed a reference implementation. We first used the OpenID4Java (Bufu, 2009) library to augment OpenID support in an open-source J2EE web application,16 and then implemented the countermeasures on the web application.

The Web attacker defense mechanism was implemented completely on the server-side using the javax.crypto.Mac class to compute and validate the HMAC tokens. We used the DH session key exchanged by the browser and the RP server as the key for the HMAC function. Both the Login Request and Auth Request validation tokens are computed in 10 lines of code (LOC).

For the server-side implementation of our MITM defense mechanism, the BigInteger Java class is used to compute the DH session key with the client (8 LOC). To validate the HMAC token computed by the browser, the Mac Java class is used again (10 LOC). On the client-side, the XMLHttpRequest object is used to initiate a DH key exchange with the server, and the following JavaScript libraries were used through out the reference implementation:


BigInt (http://leemon.com/crypto/BigInt.html): Computes DH session key kC (7 LOC).

jStorage (http://www.jstorage.info): Stores and retrieves the DH session key from the browser local storage (1 LOC).

jshash (http://pajhome.org.uk/crypt/md5/scripts.html): Computes the HMAC authentication token for the Auth Request (15 LOC).



7.4. Limitations

Our Web attacker defense mechanism could be easily imple-mented by RPs, because the HMAC function and all required data are readily accessible to them. On the other hand, the MITM countermeasure requires JavaScript to be enabled in the browser, and the client-side code needs to be written in a cross-browser manner. In addition, although the MITM attacker cannot impersonate the user by initiating requests on behalf of the victim, the attacker could still read all unen-crypted data between the client and the server, and alter the responded web page contents. While this threat exists and is important, its prevention and mitigation are outside the scope of this paper.




8. Conclusion

Similar to the way credit cards reduce the friction of paying for goods and services, OpenID systems are intended to reduce the friction of using the Web. While OpenID is rapidly gaining adoption, for RPs and IdPs (and possibly users) to entrust the

16 BookStore from http://gotocode.com.



exchange of sensitive information over the OpenID protocol, they need to have confidence in its security properties.

In this work, we conducted a formal model checking analysis of the OpenID 2.0 protocol, and an empirical evalua-tion of 132 OpenID-enabled websites. Our model checking analysis revealed that the OpenID protocol does not provide an authenticity or integrity guarantee for the authentication requests, and the protocol lacks contextual bindings among the protocol messages and the browser that issued those requests. The results of our empirical evaluation show that the uncovered vulnerabilities are prevalent among the real-word RP implementations, including popular RP websites lis-ted on the Google Top 1000 Websites. In addition, we found existing countermeasures are incomplete (e.g., fail to protect both integrity and authenticity), or have been implemented incorrectly (e.g., neglect GET method or Auth Request when implementing SSO CSRF protection). We also found that OpenID proxy services provide an integrated interface for RPs to interact with various WSSO systems, but many RPs failed to protect the returned access tokens. Furthermore, our evalua-tion found that only 19% of RP websites in our evaluation employed SSL, and 84% of them are vulnerable to session hijacking via an eavesdropped session cookie after login. We believe that the reasons behind this practice deserve further investigation.




For an HTTP-redirection based protocol in which the protocol messages are passed through the browser, our analysis shows that the RP has to ensure that the authenti-cation request originated from the RP website itself, was not altered during transmission, and that the authentication assertion is passed from the same browser through which the request was issued. We provide a simple and scalable defense mechanism for RPs to ensure the authenticity and integrity of the protocol messages. In addition, for those RPs that find deploying SSL impractical, the MITM countermeasure we recommended can be used as an alternative. This is important because impersonation attacks are possible and easy to launch even after the OpenID authentication, when the authenticity and integrity of the HTTP requests are not protected. Nevertheless, we suggest that future protocol development of OpenID should provide authenticity, confi-dentiality, and integrity protection directly in t
0/5000
Từ: -
Sang: -
Kết quả (Việt) 1: [Sao chép]
Sao chép!
SessionLock (Adida, 2008) và khác dựa trên web API, chẳng hạn như Google và Facebook nền tảng API, nhưng không yêu cầu hỗ trợ SSL từ các trang web RP.7.3. tham khảo thực hiệnĐể đánh giá đề xuất cơ chế bảo vệ, chúng tôi phát triển một thực hiện tài liệu tham khảo. Chúng tôi lần đầu tiên sử dụng OpenID4Java (Bufu, 2009) các thư viện để tăng cường hỗ trợ OpenID trong một mã nguồn mở J2EE web ứng dụng, 16 và sau đó thực hiện các biện pháp đối phó trên ứng dụng web.Cơ chế bảo vệ Web kẻ tấn công đã được thực hiện hoàn toàn ở phía máy chủ-bằng cách sử dụng lớp javax.crypto.Mac để tính toán và xác nhận thẻ HMAC. Chúng tôi sử dụng chìa khóa phiên DH trao đổi của trình duyệt và máy chủ RP như là chìa khóa cho các chức năng HMAC. Cả hai yêu cầu đăng nhập và yêu cầu Auth xác nhận thẻ được tính trong 10 dòng mã (LỘC).Để thực hiện phía máy chủ của chúng tôi cơ chế bảo vệ MITM, lớp BigInteger Java được sử dụng để tính toán DH phiên làm việc chính với các khách hàng (8 LỘC). Để xác nhận HMAC token tính bởi trình duyệt, các lớp học Mac Java được sử dụng một lần nữa (10 LỘC). Về phía khách hàng, các đối tượng XMLHttpRequest được sử dụng để bắt đầu một trao đổi phím DH với máy chủ, và sau các thư viện JavaScript được sử dụng thông qua trong việc thực hiện tài liệu tham khảo:BigInt (http://leemon.com/crypto/BigInt.html): tính DH phiên chính kC (7 LỘC).jStorage (http://www.jstorage.info): cửa hàng và lấy phiên DH key từ lưu trữ cục bộ trình duyệt (1 LỘC).jshash (http://pajhome.org.uk/crypt/md5/scripts.html): tính HMAC xác thực thẻ yêu cầu Auth (15 LỘC).7.4. hạn chếChúng tôi cơ chế bảo vệ Web kẻ tấn công có thể dễ dàng imple-mented bởi RPs, bởi vì các chức năng HMAC và yêu cầu tất cả dữ liệu dễ dàng tiếp cận với chúng. Mặt khác, MITM countermeasure yêu cầu JavaScript để được kích hoạt trong trình duyệt, và client-side mã cần được viết một cách cross-trình duyệt. Ngoài ra, mặc dù những kẻ tấn công MITM không thể mạo danh người sử dụng bởi bắt đầu yêu cầu thay mặt cho các nạn nhân, kẻ tấn công có thể vẫn còn đọc tất cả unen crypted dữ liệu giữa máy khách và máy chủ, và làm thay đổi nội dung trang web tỏ. Trong khi mối đe dọa này tồn tại và là quan trọng, công tác phòng chống và giảm nhẹ của nó đang ở bên ngoài phạm vi của bài báo này.8. kết luậnTương tự như cách thẻ tín dụng làm giảm ma sát của thanh toán cho hàng hoá và dịch vụ, Hệ thống OpenID nhằm làm giảm ma sát của việc sử dụng các trang Web. Trong khi OpenID là nhanh chóng đạt được thông qua, cho RPs IdPs (và có thể cả người dùng) để giao gơi các16 hiệu sách từ http://gotocode.com. trao đổi thông tin nhạy cảm qua giao thức OpenID, họ cần phải có sự tự tin trong các thuộc tính bảo mật.Trong tác phẩm này, chúng tôi thực hiện một mô hình thức kiểm tra phân tích giao thức OpenID 2.0, và một thực nghiệm evalua-tion 132 OpenID kích hoạt trang web. Mô hình của chúng tôi kiểm tra phân tích tiết lộ rằng giao thức OpenID không cung cấp một đảm bảo tính xác thực hoặc tính toàn vẹn cho yêu cầu xác thực, và các giao thức thiếu bindings theo ngữ cảnh trong các giao thức thư và trình duyệt đưa ra yêu cầu những người. Kết quả đánh giá kinh nghiệm của chúng tôi cho rằng các lỗ hổng phát hiện đang phổ biến trong số các hiện thực từ thực RP, bao gồm phổ biến RP trang web lis-ted trên các trang web Google Top 1000. Ngoài ra, chúng tôi thấy biện pháp đối phó hiện tại là không đầy đủ (ví dụ, không để bảo vệ tính toàn vẹn và tính xác thực), hoặc đã được thực hiện không chính xác (ví dụ như, bỏ bê có ĐƯỢC phương pháp hoặc Auth yêu cầu khi thực hiện bảo vệ SSO CSRF). Chúng tôi cũng thấy rằng dịch vụ proxy OpenID cung cấp một giao diện tích hợp cho RPs để tương tác với hệ thống WSSO khác nhau, nhưng RPs nhiều thất bại trong việc bảo vệ truy cập quay trở lại thẻ. Hơn nữa, chúng tôi evalua-tion thấy rằng chỉ có 19% RP các trang web trong đánh giá của chúng tôi sử dụng SSL, và 84% trong số họ là dễ bị tấn công phiên làm việc thông qua một cookie phiên eavesdropped sau khi đăng nhập. Chúng tôi tin rằng những lý do đằng sau các thực hành này xứng đáng điều tra thêm.Cho một giao thức HTTP, chuyển hướng dựa trên giao thức thư được thông qua thông qua trình duyệt, chúng tôi phân tích cho thấy RP có để đảm bảo yêu cầu authenti-cation có nguồn gốc từ RP trang web riêng của mình, không được thay đổi trong quá trình truyền và khẳng định xác thực được thông qua từ cùng một trình duyệt mà qua đó các yêu cầu đã được phát hành. Chúng tôi cung cấp một cơ chế bảo vệ đơn giản và khả năng mở rộng cho RPs để đảm bảo tính xác thực, tính toàn vẹn của các giao thức thông điệp. Ngoài ra, cho RPs tìm triển khai SSL không thực tế, countermeasure MITM chúng tôi đề nghị có thể được sử dụng như là một thay thế. Điều này là quan trọng bởi vì các cuộc tấn công mạo danh có thể và dễ dàng để khởi động ngay cả sau khi xác thực OpenID, khi tính xác thực và toàn vẹn của các yêu cầu HTTP không được bảo vệ. Tuy nhiên, chúng tôi đề nghị rằng phát triển trong tương lai giao thức của OpenID nên cung cấp tính xác thực, confi-dentiality và bảo vệ tính toàn vẹn trực tiếp trong t
đang được dịch, vui lòng đợi..
Kết quả (Việt) 2:[Sao chép]
Sao chép!

SessionLock (Adida, 2008) và API dựa trên web khác, chẳng hạn như Google và Nền tảng API Facebook, nhưng không yêu cầu hỗ trợ SSL từ trang web RP.

7.3. Thực hiện tham chiếu

để đánh giá các cơ chế bảo vệ đề xuất, chúng tôi phát triển một thực hiện tham khảo. Chúng tôi lần đầu sử dụng OpenID4Java (Bufu, 2009) thư viện để tăng thêm hỗ trợ OpenID trong một mã nguồn mở ứng dụng J2EE web, 16 và sau đó thực hiện các biện pháp đối phó trên các ứng dụng web.

Các cơ chế Web kẻ tấn công phòng thủ được thực hiện hoàn toàn trên phía máy chủ bằng cách sử dụng javax.crypto.Mac lớp để tính toán và xác nhận các thẻ HMAC. Chúng tôi sử dụng khóa phiên DH trao đổi của các trình duyệt và máy chủ RP như là chìa khóa cho các chức năng HMAC. Cả hai yêu cầu đăng nhập và xác thực thẻ Yêu cầu xác nhận được tính trong 10 dòng mã (LOC).

Đối với việc thực hiện phía máy chủ của cơ chế MITM quốc phòng của chúng tôi, lớp BigInteger Java được sử dụng để tính toán các khóa phiên DH với khách hàng (8 LỘC ). Để xác nhận token HMAC tính bởi trình duyệt, các lớp Mac Java được sử dụng một lần nữa (10 LOC). Trên phía khách hàng, các đối tượng XMLHttpRequest được sử dụng để bắt đầu một trao đổi khóa DH với máy chủ, và các thư viện JavaScript sau được sử dụng thông qua trong việc thực hiện tham khảo:


bigint (http://leemon.com/crypto/BigInt.html) : Tính toán khóa phiên DH KC (7 LOC).

Cửa hàng và lấy chìa khóa phiên DH từ trình duyệt lưu trữ địa phương (1 LOC): jStorage (http://www.jstorage.info).

jshash (http://pajhome.org .uk / hầm / md5 / scripts.html): Tính xác thực thẻ HMAC cho Yêu cầu Auth (15 LOC).



7.4. Hạn chế

cơ chế bảo vệ Web tấn công của chúng tôi có thể dễ dàng imple-mented bởi RP, bởi vì hàm HMAC và tất cả các dữ liệu cần thiết là có thể tiếp cận với họ. Mặt khác, các biện pháp đối phó MITM cần JavaScript để được kích hoạt trong trình duyệt, và mã phía máy khách cần phải được viết một cách qua trình duyệt. Ngoài ra, mặc dù những kẻ tấn công MITM không thể mạo danh người dùng bằng cách khởi xướng yêu cầu thay mặt cho các nạn nhân, kẻ tấn công có thể vẫn đọc tất cả các dữ liệu unen-crypted giữa máy khách và máy chủ, và làm thay đổi nội dung trang web trả lời. Trong khi mối đe dọa này tồn tại và là quan trọng, phòng chống và giảm nhẹ của nó nằm ngoài phạm vi của bài viết này.




8. Kết luận

tương tự như cách các thẻ tín dụng làm giảm ma sát trả tiền cho hàng hóa và dịch vụ, hệ thống OpenID đang dự định để làm giảm ma sát sử dụng web. Trong khi OpenID là được nhanh chóng thông qua, cho RP và người vô gia cư (và có thể sử dụng) ủy thác

16 hiệu sách từ http://gotocode.com.



Trao đổi các thông tin nhạy cảm qua giao thức OpenID, họ cần phải có niềm tin vào tính an toàn của nó.

Trong công việc này, chúng tôi đã tiến hành một mô hình chính thức kiểm tra phân tích các giao thức OpenID 2.0, và một thực nghiệm evalua-tion của 132 trang web OpenID-kích hoạt. Mô hình của chúng tôi kiểm tra phân tích cho thấy các giao thức OpenID không cung cấp một tính xác thực hoặc đảm bảo tính toàn vẹn cho các yêu cầu chứng thực, và các giao thức thiếu ràng buộc theo ngữ cảnh trong các thông điệp giao thức và các trình duyệt ban hành những yêu cầu. Kết quả đánh giá thực nghiệm của chúng tôi cho thấy các lỗ hổng đậy được phổ biến trong việc triển khai RP-từ thực tế, bao gồm cả các trang web phổ biến RP lis-ted trên Google Top 1000 trang web. Ngoài ra, chúng tôi thấy biện pháp đối phó hiện chưa đầy đủ (ví dụ, không bảo vệ sự toàn vẹn và xác thực), hoặc đã được thực hiện không chính xác (ví dụ, bỏ bê phương thức GET hoặc Auth Yêu cầu khi thực hiện bảo vệ CSRF SSO). Chúng tôi cũng thấy rằng OpenID dịch vụ proxy cung cấp một giao diện tích hợp cho RP để tương tác với các hệ thống WSSO khác nhau, nhưng nhiều RP không thể bảo vệ các thẻ truy cập trở lại. Hơn nữa, evalua-tion của chúng tôi cho thấy chỉ có 19% các trang web RP trong đánh giá sử dụng SSL của chúng tôi, và 84% trong số đó là dễ bị tổn thương để việc cướp quyền thông qua một cookie phiên nghe trộm sau khi đăng nhập. Chúng tôi tin rằng những lý do đằng sau thực tế này xứng đáng được tiếp tục điều tra.




Đối với một giao thức dựa trên HTTP chuyển hướng của các thông điệp giao thức được chuyển qua trình duyệt, phân tích của chúng tôi cho thấy rằng RP có để đảm bảo rằng yêu cầu authenti-cation có nguồn gốc từ trang web của RP chính nó, không bị thay đổi trong quá trình truyền, và khẳng định xác thực được truyền từ cùng một trình duyệt thông qua đó các yêu cầu đã được ban hành. Chúng tôi cung cấp một cơ chế bảo vệ đơn giản và khả năng mở rộng cho RP để đảm bảo tính xác thực và tính toàn vẹn của thông điệp giao thức. Ngoài ra, đối với những RP mà tìm thấy việc triển khai SSL không thực tế, các biện pháp đối phó MITM chúng tôi đề nghị có thể được sử dụng như là một thay thế. Điều này quan trọng bởi vì các cuộc tấn công mạo danh là có thể và dễ dàng để khởi động, ngay cả sau khi xác thực OpenID, khi tính xác thực và tính toàn vẹn của các yêu cầu HTTP không được bảo vệ. Tuy nhiên, chúng tôi đề nghị rằng sự phát triển giao thức tương lai của OpenID nên cung cấp tính xác thực, confi-dentiality, và bảo vệ toàn vẹn trực tiếp trong t
đang được dịch, vui lòng đợi..
 
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.

Copyright ©2025 I Love Translation. All reserved.

E-mail: