OAuth报了一个协议的漏洞,存在一种session fixation的攻击方法。
之前Twitter莫名其妙中断OAuth服务的原因。
新闻链接见这里,不过比较这篇比较歌颂。。。囧。。。
漏洞的详细描述请猛击这里,OAuth官方安全忠告猛击这里(粗略翻译了一下在这里)
[...] 上个月24号发布了针对上次那个漏洞修补的更新版协议1.0a。协议本身已经是最终的版本了,但暂时还没有合并到OAuth的官网中,按邮件列表中的说法是因为还有一些license的工作要做。下面简单说一下这次的修补。 [...]
Name
Mail (will not be published)
Website
一月 31st, 2011 at 16:32
[...] 上个月24号发布了针对上次那个漏洞修补的更新版协议1.0a。协议本身已经是最终的版本了,但暂时还没有合并到OAuth的官网中,按邮件列表中的说法是因为还有一些license的工作要做。下面简单说一下这次的修补。 [...]