Мне было интересно. Поскольку любой может запустить поставщика OpenID, и поскольку нет центрального органа, который одобряет поставщиков OpenID, почему фальшивые поставщики OpenID не станут проблемой?
Например, спамер может запустить провайдера OpenID с бэкдором, чтобы позволить себе аутентифицироваться как любой другой пользователь, которого обманом заставили зарегистрироваться на его сайте. Это возможно? Неужели репутация провайдера - единственное, что этому мешает? Увидим ли мы в будущем черные списки поставщиков OpenID и сайты с обзорами поставщиков OpenID?
Наверное, я чего-то не совсем понимаю в OpenID. Просветите меня пожалуйста :)
OpenID НЕ является искробезопасным протоколом - он не может заставить мошеннического провайдера обеспечивать безопасность, а также не «проверяет» каждого провайдера, чтобы убедиться, что они защищены.
OpenID - это механизм, с помощью которого вы можете хранить свои учетные данные у надежного провайдера, и они затем подтвердят вас другим.
Если вы выберете ненадежного поставщика, он сможет увидеть и использовать все, для чего вы можете использовать свои учетные данные.
OpenID не заменяет доверие.
-Адам
Это было бы почти то же самое, что иметь "фальшивого" провайдера электронной почты, который перехватывает электронные письма с подтверждением пользователей и т. Д. Только репутация предотвращает это. Poeple действительно регистрируется на gmail.com или hotmail.com, но не регистрируется на joesixpack.org.
Джефф имеет очень хорошо (и длинное) сообщение в блоге по этой теме. Если он не ответит на ваши вопросы, он обязательно просветит вас. В Комментарии также привести к очень иллюстративный статьи. Настоятельно рекомендуется.
На stackoverflow.com есть несколько похожих вопросов. что может вас заинтересовать.
Единственный способ увидеть проблему «мошеннического» сервера OpenID - это не столько проблема безопасности веб-приложений. Тем не менее, вы предоставляете одному веб-сайту свою личность. Они говорят людям, кто вы есть, но у них также есть к этому доступ. Если злоумышленник установит сервер OpenID и люди начнут им пользоваться, владелец вредоносной службы может выдать себя за кого угодно, использующего свой сервер.
Вопрос сводится к тому, доверяете ли вы владельцам своего сервера OpenID?
Моя проблема с OpenID в целом заключается в том, что он новый, и нет никаких стандартов (о которых я все равно слышал), которые определяют, что делает «хорошего» провайдера OpenID. Для данных кредитных карт существуют стандарты PCI-DSS для управления информацией о кредитных картах, но нет эквивалента для идентификации.
Конечно, это новая технология, которая обычно используется для приложений с минимальными требованиями к «доверию». Но на таких сайтах, как ServerFault, я думаю, вам нужен уровень доверия выше, чем у блога, но ниже, чем у банка или онлайн-брокера.
Добавление к предыдущим ответам. Еще не знаю о черных списках OpenID, но есть волонтерская инициатива Белые списки OpenID. Этот белый список является распределенной технологией (как электронная почта, DNS, сертификаты HTTPS), здесь нет единой точки отказа, нет единой точки доверия. Вы можете доверять белому списку некоторых парней, а он может подделать его.
Существует мнение, что эти белые списки должны быть расширены, чтобы предоставлять больше информации (конечно, не для кого-либо), такой как активность пользователей, количество сообщений, количество предупреждений от модераторов и т. Д. Поскольку OpenID является глобальным идентификатором, это помогло бы почти мгновенно распространяется информация, будто этот пользователь является спамером. Что заставит спамеров всегда использовать новый идентификатор. Представьте, что репутация 1000 на ServerFault делает вас надежным пользователем тысяч других веб-сайтов.
Для тех, кто считает, что потребители OpenId должны позволить любому провайдеру OpenId быть аутентификатором, это просто безумный треп. Допустим, у вас есть список авторизованных пользователей на основе электронного письма, полученного от провайдеров openid. Какой-то злоумышленник настраивает свою собственную службу провайдера OpenId и знает электронную почту одного из ваших ранее авторизованных пользователей. Затем этот мошенник может «аутентифицировать» себя как ваш принятый пользователь.
Если вы пытаетесь защитить с помощью openId, у вас должен быть белый список провайдеров, которым вы доверяете, в противном случае вы в значительной степени открыты для всех, кто знает, как настроить сервис провайдера.