Advertisement

Datenschutz und Datensicherheit - DuD

, Volume 32, Issue 8, pp 515–519 | Cite as

Die Sicherheit von MS CardSpace und verwandten Single-Sign-On-Protokollen

Browser-basierte Protokolle im Sicherheitscheck
  • Xuan Chen
  • Christoph Löhr
  • Sebastian Gajek
  • Sven Schäge
Schwerpunkt Security-Desaster
  • 41 Downloads

Zusammenfassung

Trotz vieler technischer Verbesserungen basiert die Sicherheit von Browser-basierten Single-Sign-On-Protokollen immer noch essentiell, entscheidend auf der „Same Origin Policy“ des Browsers. Daher können durch Angriffe auf das Domain Name System (DNS) auch moderne Verfahren wie Microsoft CardSpace erfolgreich angegriffen werden, wie der folgende Beitrag eindrucksvoll zeigt.

Preview

Unable to display preview. Download preview PDF.

Unable to display preview. Download preview PDF.

Literatur

  1. [1]
    Dhamija, R.; Tygar, J. D.; Hearst, M. A.: Why phishing works, CHI, ACM, 2006, 581–590Google Scholar
  2. [2]
    Gajek, S.; Schwenk, J.; Chen, X.: On the Insecurity of Microsoft’s Identity Metasystem Card-Space., Technical Report, TR-HGI-2008-003, May 2008. http://www.nds.rub.de/cardspace
  3. [3]
    Gajek, S.; Jager, T.; Manulis, M.; Schwenk, J.: A Browser-based Kerberos Authentication Scheme. Accepted for ESORICS’08Google Scholar
  4. [4]
    Groß, T.: Security analysis of the SAML single sign-on browser/artifact profile. In Annual Computer Security Applications Conference. IEEE Computer Society, 2003.Google Scholar
  5. [5]
    Groß, T.; Pfitzmann, B: SAML artifact information flow revisited. Research Report RZ 3643 (99653), IBM Research, 2006.Google Scholar
  6. [6]
    Karlof, C.; Shankar, U.; Tygar, J. D.; Wagner, D.: Dynamic pharming attacks and locked sameorigin policies for web browsers, CCS,07: Proceedings of the 14th ACM conference on Computer and communications security, ACM, 2007, 58–71Google Scholar
  7. [7]
    Kormann, D.; Rubin, A.: Risks of the Passport single signon protocol, Computer Networks, 2000, 33, 51–58CrossRefGoogle Scholar
  8. [8]
    Pfitzmann, B.; Waidner, M.. Analysis of liberty single-signon with enabled clients. IEEE Internet Computing, 7(6):38–44, 2003.CrossRefGoogle Scholar
  9. [9]
    Schechter, S.; Ozment, A.; Dhamija, R.; Fischer, I.: The Emperor’s New Security Indicators, Symposium on Security and Privacy, IEEE Computer Society, 2007, 51–65Google Scholar
  10. [10]
    Stamm, S.; Ramzan, Z.; Jakobsson, M., Drive-By Pharming, ICICS, 2007, 495–506Google Scholar

Copyright information

© Vieweg+Teubner | GWV Fachverlage GmbH 2008

Authors and Affiliations

  • Xuan Chen
    • 1
  • Christoph Löhr
    • 1
  • Sebastian Gajek
    • 2
  • Sven Schäge
    • 2
  1. 1.IT-Sicherheit an der Ruhr-Universität BochumBochumGermany
  2. 2.Horst-Görtz-InstitutKryptografische ProtokolleSicherheitGermany

Personalised recommendations