基于浏览器的单点登录协议中的身份验证缺陷：影响和补救

基于浏览器的单点登录（SSO）协议减轻了用户处理多个凭证的负担，从而改善了用户体验和安全性。 在本文中，我们展示了指定和实现基于原型的基于浏览器的SSO用例需要非常小心。 我们发现主要的新兴SSO协议，即SAML SSO和OpenID受到认证缺陷的困扰，允许恶意服务提供商劫持客户端认证尝试，或强制后者在未经其同意或意图访问资源的情况下访问资源。 这可能会产生严重后果，正如我们在基于SAML的Google Apps SSO和Novell Access Manager v.3.1中的SSO中发现的跨站点脚本攻击所证明的。 例如，攻击允许恶意网站服务器在任何Google应用程序上冒充用户。 我们还描述了可用于缓解甚至解决问题的解决方案。