OpenID に対する中間者攻撃のデモ - 日向夏特殊応援部隊

いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。

予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1

試したけど、idtheft.fun.de と言うドメインは変わらない物の、入力した Identifier に応じた OpenID Provider そっくりの画面が出て来た。myopenid.com, claimid.com で確認しました。
素人さんはこれは気づかないんじゃないのかなー。

ちなみに以前紹介した Sxipper の Firefox 拡張を使えば見事にフィッシング検出されました（ぉ

ちゃんと読んで無いと先に断っておきますが、紹介記事は多分パスワード認証よりCardSpaceみたいのがいいよねって感じを暗に訴えてるように思える。まぁ最もパスワード認証ってのはこういうのでいとも簡単に崩れてしまう物なんですけどねぇ。

どうやって防ぐんだろう

Sxipper の拡張のコードを見た訳じゃないので何とも言えませんが、比較的簡単に見た目だけ似せたサイトを判別する事は可能ですね。

RP のフォームで自分のIdentifierを入力した時点で (type="text" name="openid_identifier" なinput要素に入力があった時点とかで) discoveryを掛ける (ブラウザ拡張側で)
discoveryで得られた OP Endpoint URL じゃない URL に飛ばされそうになった時点で警告を出す

とかで良さそう。これに違反しているであろう RP を拡張側で検出したら、データベース化みたいな事やってんじゃないのかなー。

*1:と先に但し書きしておくw