基于浏览器的单点登录(SSO)协议减轻了用户处理多个凭证的负担,从而改善了用户体验和安全性。 在本文中,我们展示了指定和实现基于原型的基于浏览器的SSO用例需要非常小心。 我们发现主要的新兴SSO协议,即SAML SSO和OpenID受到认证缺陷的困扰,允许恶意服务提供商劫持客户端认证尝试,或强制后者在未经其同意或意图访问资源的情况下访问资源。 这可能会产生严重后果,正如我们在基于SAML的Google Apps SSO和Novell Access Manager v.3.1中的SSO中发现的跨站点脚本攻击所证明的。 例如,攻击允许恶意网站服务器在任何Google应用程序上冒充用户。 我们还描述了可用于缓解甚至解决问题的解决方案。
1