Los protocolos como Oauth u OpenID nos simplifican la identificación en la red pero, a medida que crece su adopción y popularidad, se vuelve necesario implementar más medidas de seguridad. Ese es el mensaje que nos deja el hallazgo de una vulnerabilidad en estos mecanismos, que permite iniciar sesión sin la intervención del usuario, pudiendo afectar incluso a los servicios de grandes de la red, como Twitter, Google oFacebook.

Se trata de la conocida pero compleja técnica timing attack, implementada en este caso por los investigadores Nate Lawson y Taylor Nelson, que se basa en el tiempo demorado por un servidor para validar los tokens intercambiados. Como los errores son devueltos apenas se detecta un caracter incorrecto, un logueo inválido será más veloz que uno legítimo. Esto hace posible enviar distintas cadenas y determinar su validez gracias a la duración del proceso.