El proveedor X de autenticación de autenticación es utilizado por muchos sitios web no relacionados, como A, B y C, como único proveedor de autenticación. X para ello proporciona un marco para la atentación que incluye un formulario de inicio de sesión a través de un iframe en el sitio web de A (o B / C) donde el usuario ingresa sus credenciales. (A / B / C se alojan bajo su propio dominio no relacionado). Luego, el usuario hace clic en inicio de sesión y, si las credenciales de X son correctas, se autentica para el sitio web A (o B / C). Alternativamente, puede hacer clic para abrir una nueva ventana desde una URL del sitio web X e ingresar sus credenciales allí (tiene que hacer esto para cada inicio de sesión).
En mi opinión, un atacante podría hacer que un sitio web como un foro de juegos G simule usar X para autenticar y falsificar el iframe y enviar las credenciales ingresadas del usuario U a su propio servidor y usar las credenciales de U para autenticarse en A / B / C como U. U no tiene ni idea de que se usarán para autenticarse contra A y no contra G, ya que son iguales y A y G no están relacionados.
Le conté a X acerca de esto, pero solo respondieron que ingresar las credenciales fuera de su propio sitio web (fuera incluye el iframe) iría en contra de sus términos de uso, pero tendrían que usar la nueva versión de Windows y no lo consideran. Un agujero de seguridad. No importó que les mostrara que demostraron que nadie usó la nueva versión de la ventana en los últimos meses (incluido su propio personal).
Por lo tanto, quiero saber si hay una guía sobre si esto se considera (in) seguro?
(X es utilizado principalmente por sitios web en las áreas de HIPA, datos financieros, información personal confidencial y X se promociona a sí mismo como muy seguro para esas áreas pero también normales)
Edit: no quiero usar el marco, pero soy un usuario (forzado) como muchos otros sitios web A y B, y los datos sobre mí están almacenados en C y preocupados por mi seguridad y la seguridad de mis datos .