Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsVerunsicherung über angebliche Lücke in OAuth und OpenID
Heartbleed beschäftigt noch immer die Sicherheitsexperten, da taucht bereits das vermeintlich nächste große Sicherheitsproblem auf, dass Anwender verunsichert. „Entdeckt“ wurde die Lücke in OAuth und OpenID von dem Studenten Wang Jing in Singapur.
"Möglichkeit, Nutzer bei verschiedenen Diensten ohne Registrierung etwa mittels deren Facebook- oder Google-Account mit nur einem Klick und einem Passwort anzumelden."
KRANK!! KRANK!! KRANK!!
Bei mir bekommt jeder ein eigenes Emailkonto, Nickname und Passwort - und das ist gut so!
Warum? Maildomain, Broadcastabfrage der eMails, Loginmailadresse enthält Domainname (z.B. computerbase@meine-mail-domain.de), dazu einen Paßwortsafem wo ist das Problem?
Und worin besteht da jetzt genau der Unterschied zu einem normalen Phishing Angriff? Sieht mir doch sehr nach Selbstprofilierung aus (sofern ich es richtig verstanden habe).
Der Unterschied zum eigentlichen Phishing ist, dass in der "klassischen" Variante der User auf einen Link klickt, welcher ihn im Browser auf eine Webseite führt. Auf dieser Webseite müsste man nun die Login-Details eingeben (Bsp.: E-mail, Passwort). Man sollte dann auf Basis der URL darauf aufmerksam werden (Bsp.: www.face-book.com, und nicht www.facebook.com). Ebenfalls auffällig ist das oft nicht authentisch aussehende Design und/oder auftreten der Webseite. Mit dem hier nun mehr oder minder neu beschriebenen Verfahren wirst Du nicht auf eine Seite gelenkt.
Dabei handelt es sich um die Möglichkeit, Nutzer bei verschiedenen Diensten ohne Registrierung etwa mittels deren Facebook- oder Google-Account mit nur einem Klick und einem Passwort anzumelden.
Folglich ist Dir hier gar keine Möglichkeit gegeben, festzustellen ob Du die Informationen an eine manipulierte Seite geschickt werden.
Aber wie im Artikel beschrieben, sollten hier eigentlich Sicherheitsmechanismen greifen.
As per the core spec, every actual redirect URI sent with the respective "client_id" to the end-user authorization endpoint must match the registered redirect URI. Where it does not match, the authorization server should assume that the inbound GET request has been sent by an attacker and refuse it.
[...] da taucht bereits das vermeintlich nächste große Sicherheitsproblem auf, das Anwender verunsichert. [...]
Bezug auf Sicherheitsproblem, keine Einleitung zum Nebensatz. Leider keine Glanzarbeit der Artikel!
Kommt ihr ja schnell hinterher - hatte euch die News am Freitag den 02.05. zugeschickt 
