13/08/2008 @ 09:38:05: Sécurité - Plusieurs sites OpenID vulnérables à cause d'OpenSSL
Une faiblesse d'OpenSSL faisait parler d'elle la première moitié de cette année. En effet, la fonction aléatoire n'était pas réellement aléatoire et cela réduisait fortement du coup la sécurité des certificats générés qui ont normalement tous été regénéré depuis.
OpenId utilise également ces certificats dans son protocole et après enquête, sur plus de 9000 sites proposant d'enregistrer un OpenID certains n'ont pas pensé à corriger le problème lié à OpenSSL. C'est le cas d'une société qui a fait parler de l'OpenID en mal récemment: Sun Microsystems.
Les autres "coupables" connus sont openid.net.nz et xopenid.net. Il n'est pas évident à l'heure actuelle d'arriver à exploiter réellement cette faille mais il serait de bon ton que Sun montre aussi l'exemple.
How poor crypto housekeeping left OpenID open to abuse: http://www.theregister.co.uk/2008/08/13/openid_phish_risk/