В сервисе аутентификации Mozilla Persona выявлены проблемы с безопасностью

В сервисе аутентификации Mozilla Persona выявлены проблемы с безопасностьюВ развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID.

Ключевые теги: OpenID, Mozilla, persona, auth

----------------------------