MÜNCHEN (COMPUTERWOCHE) - Die Interessengruppe Liberty Alliance hat die Spezifikationen für ihre quelloffene Alternative zu Microsofts Authentifizierungsdienst Passport auf den Versionsstand 1.1 gebracht. Beseitigt wurde eine Sicherheitslücke des im Juli erstmals veröffentlichten Single-Sign-On-Systems (Computerwoche online berichtete). Durch einen Fehler im Client/Proxy-Profil der Version 1.0 können Hacker die Übertragung von Authenifizierungsdaten abhören, wenn sich Anwender über mobile Geräte bei Diensten anmelden. Diese so genannte "Man-In-The-Middle"-Lücke wurde im Oktober von IBM und dem Liberty-Alliance-Initiator Sun entdeckt. Da das System noch nicht im praktischen Einsatz ist, habe man

sich ein paar Wochen Zeit gelassen, das Leck zu beseitigen, sagte Liberty-Chef Michael Barret. Es sei aber möglich, auf solche Entdeckungen wesentlich schneller zu reagieren.

Die Liberty Alliance hat die Spezifikationen veröffentlicht und bietet ein Forum für Entwickler an. (lex)