Secure Bindings for Browser-based Single Sign-On

Ähnliche Dokumente
Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg,

Authentication as a Service (AaaS)

Modernes Identitätsmanagement für das Gesundheitswesen von morgen

Authentisierung für die Cloud mit dem neuen Personalausweis

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Identity Management mit OpenID

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Absicherung von Versicherungsgeschäftsprozessen in die interne IT am Einfallstor

Federated Identity Management

MOA-ID Hands-On Workshop

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

Single Sign-On Step 1

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit Grid Systeme 1

Identity Propagation in Fusion Middleware

Portalverbundprotokoll Version 2. S-Profil. Konvention PVP2-S-Profil Ergebnis der AG

AZURE ACTIVE DIRECTORY

Veröffentlichung und Absicherung von SharePoint Extranets

OpenID und der neue, elektronische Personalausweis

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

Neues aus der AAI: SLO und Verlässlichkeitsklassen Single-Log-Out Zwischenbericht 09/2014

(c) 2014, Peter Sturm, Universität Trier

Home-Router als Hintertürchen ins Geschäftsnetzwerk?

Der lange Weg vom SSO-Server zu SAML und Identity Federation

!"#$"%&'()*$+()',!-+.'/',

Inhalt. TEIL I Grundlagen TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15

OSIAM. Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2

Inhalt. Vorwort 13. L.., ',...":%: " j.

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Neuigkeiten bestehender Komponenten

WhatsApp und Co. Sicherheitsanalyse von Smartphone-Messengers. Sebastian Schrittwieser

Sebastian Rieger

am Beispiel - SQL Injection

Neuerungen bei Shibboleth 2

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Session Management und Cookies

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web Nico Enderlein

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz,

Konfiguration und Deployment einer hochverfügbaren ADF Anwendung

Erste Vorlesung Kryptographie

Programmierhandbuch SAP NetWeaver* Sicherheit

Hacking-Lab Online Hack&Learn 9. December 2008

Kobil Roundtable Identity Federation. Konzepte und Einsatz

IT Sicherheit: Lassen Sie sich nicht verunsichern

Stand der Entwicklung von Shibboleth 2

am Beispiel - SQL Injection

Social Login mit Facebook, Google und Co.

MOA-Workshop. Ausländische BürgerInnen (STORK) Bernd Zwattendorfer Wien, 28. Juni 2012

Web-Anwendungsentwicklung mit dem Delivery Server

When your browser turns against you Stealing local files

Web-Single-Sign-On in der LUH

Verschlüsselung für Unternehmen im Zeitalter von Mobile, Cloud und Bundestagshack

Sicherheit in Rich Internet Applications

Home-Router als Einfallstor ins Firmennetzwerk?

Verteilte Systeme. Übung 10. Jens Müller-Iden

Raoul Borenius, DFN-AAI-Team

Compass E-Lab Remote Security Lab 19. November Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Man liest sich: POP3/IMAP

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Netzwerkbasierte Man-in-the-Middle- Angriffe auf die Online-Authentisierung mit dem elektronischen Personalausweis

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Authentication im Web

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Beweisbar sichere Verschlüsselung

Lagebild zur Internet-Sicherheit Internet-Kennzahlen

Enterprise Web-SSO mit CAS und OpenSSO

Smartphone mit Nahfunk (NFC)

Einführung Architektur - Prinzipien. Ronald Winnemöller Arbeitsgruppe VCB Regionales Rechenzentrum Universität Hamburg

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV

SSL-Protokoll und Internet-Sicherheit

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

SSL/TLS und SSL-Zertifikate

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

Starke, kosteneffiziente und benutzerfreundliche Authentisierung in der Cloud ein Widerspruch in sich?

WLGauge: : Web Link Gauge to Measure the Quality of External WWW Links. Andreas Lübcke

Version smart.finder SDI. What's New?

Transkript:

Secure Bindings for Browser-based Single Sign-On Andreas Mayer 1, Florian Kohlar 2, Lijun Liao 2, Jörg Schwenk 2 1 Adolf Würth GmbH & Co. KG, Künzelsau-Gaisbach 2 Horst Görtz Institut für IT-Sicherheit, Ruhr-Universität Bochum 13. Deutscher IT-Sicherheitskongress, Bonn-Bad Godesberg 15. Mai 2013

Agenda Motivation: Single Sign-On Angriffe auf SSO Secure Bindings Server-Endpoint Unique-Session Holder-of-Key Eigenschaften der Bindings Fazit/Ausblick 2 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Das Problem der Passwortinflation bob@gmail.com / :Z/?MP[R$tqf2Q?[2{F# Bob69 / yjzmz13r>2^4cxhw{ BookBob12 / ;/$yjhq(+9a71dbw$."x bo1@yahoo.com / %^]M!;:@:qq0[(&.=*js Bob Jeder Nutzer besitzt durchschnittlich 25 Accounts! (Quelle: http://research.microsoft.com/apps/pubs/?id=74164) 3 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Single Sign-On Authentifizierung s Identity Provider Bob 4 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Single Sign-On Protokoll Identity Provider User User Agent Service Provider Login Request Issue Request Issue signed Request Request User: Bob Role: Guest User: Bob Role: Guest Validate Resource [SSL/TLS] [SSL/TLS] 5 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Angriffe auf Single Sign-On Schwache Same Origin Policy (z.b. DNS Angriffe) Gebrochene CA Infrastruktur (z.b. Comodo und DigiNotar) Gebrochene Routing Infrastruktur (BGP) Missverstandene Sicherheitsmerkmale im Browser Browser-/Serverseitige Schwachstellen (z.b. XSS, CSRF, HTML5) 6 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

SSO Spoofing Angriff Identity Provider User User Agent www.badsp.com Service Provider Issue signed User: Bob Role: Guest Request User: Bob Role: Guest (Login) Request Request User: Bob Role: Guest Login Request Request Issue Request Error Resource Validate [SSL/TLS] [SSL/TLS] [SSL/TLS] 7 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Secure Bindings Internet-Standard TLS als kryptographische Primitive verwenden Bindung des sicherheitskritischen s 3 Binding Varianten: Server-Endpoint: Erkennen des Service Providers Unique-Session: Erkennen des TLS Kanals Holder-of-Key: Erkennen des Browsers 8 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Server-Endpoint Binding User User Agent Service Provider Identity Provider Extract pk SP add pk SP Send, if pk SP == pk SP Login Request Request Request, pk SP ( pk SP ) ( pk SP ) Resource Check pk SP TLS Kanal 9 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Unique-Session Binding User User Agent Service Provider Identity Provider add fin UA Login Request Save Request fin SP Request, fin UA ( fin UA ) Add fin UA ( fin UA ) Resource Check, if fin UA == fin SP TLS Kanal 10 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Holder-of-Key Binding User User Agent Service Provider Identity Provider Login Request Request Cert UA Request ( Cert UA ) Add Cert UA Cert UA ( Cert UA ) Resource Check, if Cert UA == Cert UA TLS Kanal 11 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Eigenschaften der Bindings Property Server-Endpoint Unique-Session Holder-of-Key Recognition of Server Session Browser bound to Server certificate TLS session Client certificate Secrets stored on UA None None Private key Requires modification of Immune against UAà SP MITM Immune against UAà IdP MITM Immune against browser-side flaws Privacy-preserving Browser Browser and web server Web application 12 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Fazit und Ausblick Die vorgestellten Bindings erhöhen die Sicherheit von SSO deutlich sind generisch (z.b. für SAML, OpenID, OAuth ) realisieren unterschiedliche Sicherheitsziele (z.b. Anonymität) Implementiert: Server-Endpoint (PoC Firefox Plugin) Holder-of-Key (SimpleSAMLphp) Future Work: Unique-Session Implementierung 13 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

Vielen Dank für Ihre Aufmerksamkeit! Fragen? Andreas Mayer andreas.mayer@wuerth.com 14 13. Deutscher IT-Sicherheitskongress Adolf Würth GmbH & Co. KG, 15.05.2013

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback