Microsoft stopft Passport-Loch

Ausgesprochen schnell hat Microsoft auf die Entdeckung eines Sicherheitslecks in seinem Web-SSO-Dienst (Single Sign-On) "Passport" reagiert.

Ein pakistanischer Sicherheitsexperte hatte in der "Full-Disclosure"-Mailinglist berichtet, über eine manipulierte URL lasse sich auf Grund eines Fehlers in der Logik der Webanwendung das Passwort jedes Accounts ändern, für den der Benutzername bekannt sei. Dreieinhalb Stunden später hatte der Software-Konzern die fehlerhafte Password-Recovery-Funktion deaktiviert, berichtet die Computerwoche. Unklar ist derzeit noch, ob alle Passport-Konten von dem Problem betroffen waren oder nur ein Teil. Verschiedene Experten konnten den Fehler nachvollziehen, bei anderen funktionierte die beschriebene Technik nicht. (Computerwoche/uba)

tecCHANNEL Buch-Shop

Literatur zum Thema Webtechnik

Bestell-Link

Titel von Pearson Education

Bestellung

PDF-Titel (50% billiger als Buch)

Downloads