Я думаю многие знают о такой децентрализованной системе авторизации как OpenID. И некоторые даже знают как она работает. У неё есть свои минусы и плюсы, но сейчас не о них. Сейчас я расскажу о сайтах которые поддерживают авторизацию через OpenID.
.
Что в этом может быть плохого? Ведь это же наоборот хорошо, когда пользователю не нужно постоянно вводить данные, достаточно ввести URL по которому будут запрошены его данные… А вот и оно. Сайт обращается по ссылке переданной ему. Предположительно это ссылка на OpenID пользователя. Но туда можно вставить абсолютно любой линк, и к нему всё-равно обратятся. А если это сделать 10 раз в секунду? А если с нескольких таких сайтов\сервисов?
.
Вот и получается, что если вы используете OpenID вы можете оказаться ботом, через которого пойдёт ДДоС атака на чей-то сайт. Вы от 10 запросов в секунду не умрёте, но поможете злоумышленнику убить сайт. Ведь сайтов поддерживающих OpenID много, и если с каждого взять по 10 запросов то выйдет более 10 000 запросов в секунду. При чём это далеко не предел.
.
Как от этого защититься?

.
Ну для начала нужно запретить обращаться к 1 OpenID адресу более 1 раза в минуту.
Далее, если после проверки является ли адрес OpenID адресом результат отрицательный – запрещать его перепроверять в течении часа, а лучше дня.
.
Этих двух простых советов должно хватить, что бы не стать чьим-то ботом и при этом не помешать пользователям использовать OpenID.

.

Кеи: ддос openid, openid взлом, взлом openid, ддос, дос, уязвимость openid, уязвимости openid, взломать openid.

Похожие записи:

None Found

Теги: DoS, OpenID, Уязвимости

Статья добавлена в суббота, 5 сентября, 2009 в 18:15 и находится в разделе Уязвимости. Вы можете читать новые комментарии в RSS 2.0 ленте. Вы можете Оставить комментарий, либо заюзать trackback с вашего сайта.