Le SSO, ou Single Sign On est une méthode d’authentification à des services web. OAuth, c’est le SSO de Facebook qui vous permet par exemple d’aller commenter certains sites de presse ou de jouer à de petits jeux. Aujourd’hui, Nir Goldshlager nous en raconte un bien bonne. Une faille béante concernant le lien du bouton d’autorisation d’accès aux applications utilisant OAuth permettrait de prendre le contrôle de n’importe quel compte en lui attribuant une URL forgée maison dans laquelle on injecte quelques paramètres observés sur ceux d’applications Facebook tierces, comprenant toutes les permissions qui vont bien…. et oui c’est une faille particulière débile.