OpenID出現安全漏洞

OpenID基金會發表一份通告，警告所有使用OpenID的網站必須注意一個系統漏洞，可能讓部份網站在沒有確認OpenID來源之下接受該帳號屬性，並因此遭受攻擊，讓用戶帳號遭駭客綁架。

目前該基金會已經提供有漏洞部份元件的更新，呼籲使用OpenID 2.0的網站更新套件並檢查程式。

OpenID是一種開放式認證系統，用戶將個人資料存放於認證伺服器中，當用戶使用其他接受OpenID方式登入的網站時，該網站會透過認證伺服器讓用戶登入，並在用戶許可下取得相關資料或屬性，例如用戶性別、使用語言、偏愛的顏色等等。

研究人員表示，該漏洞造成部份網站直接接收用戶屬性資料，卻沒有檢查是否具有認證網站的簽署，因此駭客可能改造屬性資料內容，為後續的入侵或攻擊作準備。

基金會建議網站首先變更程式設計，只接收已簽署的屬性資料，其次將受影響的套件更新，尤其是使用OpenID4Java及Kay Framwork的程式，均應升級至最新的版本。其他使用Janrain、Ping Identity及DotNetOpenAuthcloud模組一樣受該漏洞影響，但只要使用系統預設值就不會遭受攻擊。

OpenID的好處在於用戶只需維護單一的帳號、密碼。任何網站都可以利用OpenID讓用戶登入，也可以當作認證伺服器。根據OpenID基金會資料顯示，2009年底約有900萬個網站可以使用OpenID登入，包括Facebook、微軟、Google、雅虎等，雅虎及Google等部份網站也提供認證伺服器的功能。（編譯/沈經）