In der sechsten Episode der Sliding Windows war ich zu Gast im Sendezentrum des 33. Chaos Communications Congress, 33C3, in Hamburg. Von dieser Stelle noch mal ein herzliches Dankeschön an das Team des Sendezentrums. Zu Gast in der “Live”-gestreamten Sendung waren Daniel Fett und Guido Schmitz, die beim 33C3 einen Vortrag namens “On the Security and Privacy of Modern Single Sign-On in the Web” gehalten haben, der als Ausgangspunkt für das knapp 50-minütige Gespräch diente.
Daniel und Guido arbeiten als Sicherheitsforscher an der Uni Trier (zukünftig an der Uni Stuttgart) und forschen zu den Bereichen Sicherheit und Datenschutz im Web. Wir sprechen über Single-Sign-On-Verfahren, der Evolution von LAN zu WAN-Technologien und den verwirrenden Unterschieden im Kontext von Authentifizierung, Authorisierung und Privatheit in oAuth 1.0 und 2.0, OpenID, OpenID Connect, BrowserID (aka Mozilla Persona) und dem aus Ihrer Forschung hervorgegangenen Spresso.
Das Gespräch wurde am am 29. Dezember 2016 in Hamburg aufgezeichnet.
RSS-Feed: AAC | MP3
Randnotizen
- “On the Security and Privacy of Modern Single Sign-On in the Web” (Folien/PDF, Video auf media.ccc.de)
- Universität Trier, Fachbereich “Information Security and Cryptography”
- Universität Trier: Daniel Fett
- Universität Trier: Guido Schmitz
- Fett, Küsters, Schmitz: “A Comprehensive Formal Security Analysis of OAuth 2.0”
- RFC 1510: “The Kerberos Network Authentication Service (V5)”
- Lightweight Directory Access Protocol (LDAP) (Wikipedia)
- X.400 (Wikipedia)
- oAuth 1.0 und 2.0 (Wikipedia)
- OpenID (Wikipedia)
- OpenID Connect (Wikipedia)
- Mozilla Persona (auch “BrowserID”)
- Pyoidc
- SPRESSO: “a Secure, Privacy-REspecting Single Sign-On system for the web”
Kapitel
- 00:00:00 Intro
- 00:00:26 Begrüßung: Was ist Single-Sign-On? (Daniel, Guido)
- 00:04:44 SSO: Lan vs Web SSO (Guido, Daniel)
- 00:11:49 oAuth 1.0 (Guido, Daniel)
- 00:15:27 Terminologie (Guido, Daniel)
- 00:20:55 OpenID, OpenID Connect (Guido)
- 00:24:51 Land of Confusion (Daniel)
- 00:27:06 oAuth 2.0: Authorisierung, nicht Authentifizierung (Guido, Daniel)
- 00:32:05 Wenn man es richtig macht: OpenID Connect (Daniel)
- 00:33:51 Mozilla Persona (Guido, Daniel)
- 00:38:12 Spresso (Guido)
- 00:41:13 Erkennbare Privatheit (Daniel)
- 00:44:19 Ausblicke (Guido, Daniel)
- 00:48:37 Outtro
Musik