มีอันตรายในผู้ให้บริการ OpenID ปลอมหรือไม่?


27

ฉันสงสัยว่า เนื่องจากใคร ๆ ก็สามารถเริ่มต้นผู้ให้บริการ OpenID ได้และเนื่องจากไม่มีหน่วยงานกลางที่อนุมัติผู้ให้บริการ OpenID ทำไมผู้ให้บริการ OpenID ปลอมจะไม่เป็นปัญหา

ตัวอย่างเช่นผู้ส่งสแปมสามารถเริ่มต้นผู้ให้บริการ OpenID ด้วยแบ็คดอร์เพื่อให้เขาตรวจสอบสิทธิ์กับผู้ใช้รายอื่นที่ถูกหลอกให้ลงทะเบียนในเว็บไซต์ของเขา เป็นไปได้ไหม ชื่อเสียงของผู้ให้บริการเป็นสิ่งเดียวที่ป้องกันไม่ให้เกิดขึ้น เราจะไปดูบัญชีดำของผู้ให้บริการ OpenID และเว็บไซต์ตรวจสอบของผู้ให้บริการ OpenID ในอนาคตหรือไม่

อาจเป็นเพราะฉันไม่เข้าใจบางสิ่งเกี่ยวกับ OpenID อย่างสมบูรณ์ โปรดให้ความกระจ่างแก่ฉัน :)

คำตอบ:


16

OpenID ไม่ใช่โปรโตคอลที่ปลอดภัยอย่างแท้จริง - ไม่มีอำนาจบังคับให้ผู้ให้บริการโกงเพื่อให้ความปลอดภัยและไม่ได้เป็นผู้ให้บริการแต่ละรายเพื่อให้มั่นใจว่าพวกเขาปลอดภัย

OpenID เป็นกลไกที่คุณสามารถจัดเก็บข้อมูลรับรองของคุณกับผู้ให้บริการที่เชื่อถือได้และพวกเขาจะยืนยันคุณกับผู้อื่น

หากคุณเลือกผู้ให้บริการที่ไม่น่าเชื่อถือพวกเขาสามารถเห็นและใช้ทุกสิ่งที่คุณอาจใช้ข้อมูลรับรองของคุณ

OpenID ไม่ใช่การแทนที่ความน่าเชื่อถือ

อดัม


แต่ไม่จำเป็นต้องมีความไว้วางใจโดยปริยายสำหรับระบบที่จะทำงานใช่ไหม หากฉันยอมรับข้อมูลประจำตัวของ Google และ Yahoo OpenID และหนึ่งในนั้นไม่น่าเชื่อถือดังนั้นตอนนี้ฉันจึงไม่อยู่ในสถานการณ์ที่ฉันไม่สามารถเชื่อถือได้ว่าผู้ใช้ของฉันเป็นใคร
duffbeer703

1
OpenID ไม่ได้หมายถึงการตรวจสอบว่าผู้ใช้เป็นอะไรไปยังเว็บไซต์ของลูกค้า สิ่งที่กล่าวคือ "คนที่ลงชื่อเข้าใช้ตอนนี้เป็นคนเดียวกับที่ตั้งค่าบัญชีผู้ใช้ - ชื่อ - OpenID ที่นี่" ซึ่งจะเป็นประโยชน์สำหรับการติดตามชื่อผู้ใช้ / รหัสผ่านส่วนกลาง แต่ไม่รับประกันอะไรเลยเกี่ยวกับผู้ใช้รายนั้น - เพียง แต่พวกเขามีข้อมูลประจำตัวที่เหมาะสมเช่นนั้นผู้ให้บริการ OpenID จะมั่นใจอย่างเหมาะสมว่าเป็นพวกเขา
Adam Davis

ฉันใช้ openid เป็นสตริงการระบุที่ไม่ซ้ำกัน มีความเป็นไปได้ที่ผู้ให้บริการโกงจะให้ openid เช่นเดียวกับผู้ใช้ที่ชอบด้วยกฎหมายในผู้ให้บริการรายอื่นหรือไม่ Yahoo พูด?
Jus12

15

มันจะเหมือนกับว่ามีผู้ให้บริการอีเมล "ปลอม" ที่จะขโมยผู้ใช้ยืนยันอีเมล ฯลฯ มีเพียงชื่อเสียงเท่านั้นที่ป้องกันไม่ให้ Poeple ทำการลงทะเบียนบน gmail.com หรือ hotmail.com แต่อย่าลงทะเบียนใน joesixpack.org


แต่พวกเขาลงทะเบียนอีเมลแบบใช้ครั้งเดียวกับ mailinator.com และฉันกำลังมองหาผู้ให้บริการ openid แบบใช้แล้วทิ้ง ฉันต้องการลงทะเบียนในเว็บไซต์เส็งเคร็งที่ต้องใช้ openId และฉันไม่สนใจที่จะลงทะเบียนภายใต้ G-account หรือ FB ที่แท้จริงของฉัน
dan3



0

วิธีเดียวที่ฉันจะเห็นเซิร์ฟเวอร์ "โกง" เป็นปัญหาไม่ได้เป็นปัญหาด้านความปลอดภัยของเว็บแอปพลิเคชันมากนัก สิ่งที่คุณกำลังทำอยู่คือให้เว็บไซต์หนึ่งที่มีข้อมูลประจำตัวของคุณ พวกเขาบอกคนที่คุณเป็นคุณ แต่พวกเขายังสามารถเข้าถึงได้ หากผู้ประสงค์ร้ายตั้งค่าเซิร์ฟเวอร์ OpenID และผู้คนเริ่มใช้งานเจ้าของบริการที่เป็นอันตรายอาจปลอมตัวเป็นใครก็ตามที่ใช้เซิร์ฟเวอร์ของตน

คำถามเกิดขึ้นเพื่อให้คุณเชื่อมั่นในเจ้าของเซิร์ฟเวอร์ OpenID ของคุณหรือไม่


0

ปัญหาของฉันกับ OpenID โดยทั่วไปคือมันใหม่และไม่มีมาตรฐานใด ๆ (ที่ฉันเคยได้ยินเกี่ยวกับที่ใดก็ได้) ที่กำหนดสิ่งที่ทำให้ผู้ให้บริการ OpenID "ดี" สำหรับข้อมูลบัตรเครดิตมีมาตรฐาน PCI-DSS สำหรับการจัดการข้อมูลบัตรเครดิต - แต่ไม่เทียบเท่ากับข้อมูลประจำตัว

ได้รับมันเป็นเทคโนโลยีใหม่ที่ใช้โดยทั่วไปสำหรับการใช้งานที่มีความต้องการ "ความน่าเชื่อถือ" น้อยที่สุด แต่ในเว็บไซต์อย่าง ServerFault ฉันคิดว่าคุณต้องมีระดับความน่าเชื่อถือที่มากกว่าบล็อก แต่น้อยกว่าของธนาคารหรือโบรกเกอร์ออนไลน์


กรอบการทำงานหนึ่งที่มีศักยภาพสำหรับการประเมินความเหมาะสมของผู้ให้บริการ OpenID สำหรับความต้องการด้านความปลอดภัยของคุณคือ Liberty Identity Assurance Framework แต่ขณะนี้มีการรับรู้น้อยมากเกี่ยวกับเรื่องนี้ในตลาด OpenID projectliberty.org/strategic_initiatives/identity_assurance
keturn

0

การเพิ่มคำตอบก่อนหน้า ยังไม่รู้เกี่ยวกับบัญชีดำ OpenID แต่มีความคิดริเริ่มอาสาสมัครในบัญชีขาว OpenID รายการที่อนุญาตนั้นเป็นเทคโนโลยีแบบกระจาย (เช่นอีเมล, DNS, HTTPS certs) ไม่มีความล้มเหลวในจุดเดียวไม่มีความน่าเชื่อถือเพียงจุดเดียว คุณอาจเชื่อถือรายการที่อนุญาตของผู้ชายบางคนและเขาสามารถปลอมได้

มีความเห็นว่าต้องเพิ่มรายชื่อบัญชีขาวเพื่อให้ข้อมูลเพิ่มเติม (ไม่ใช่เพื่อใคร) แน่นอนเช่นกิจกรรมของผู้ใช้จำนวนโพสต์จำนวนคำเตือนจากผู้ดูแลเป็นต้นเนื่องจาก OpenID เป็นตัวตนระดับโลกที่จะช่วย ข้อมูลที่แพร่กระจายเกือบจะทันทีเช่นผู้ใช้รายนี้เป็นผู้ส่งสแปม ซึ่งจะบังคับให้ผู้ส่งอีเมลขยะใช้รหัสใหม่เสมอ ลองนึกภาพว่า 1,000 ชื่อเสียงใน ServerFault ทำให้คุณเป็นผู้ใช้ที่ไว้วางใจในเว็บไซต์อื่น ๆ หลายพันเว็บไซต์


-2

สำหรับผู้ที่คิดว่าผู้บริโภค OpenId ควรปล่อยให้ผู้ให้บริการ OpenId ใด ๆ เป็นผู้รับรองความถูกต้องนั่นเป็นเพียงการพูดคุยอย่างบ้าคลั่ง สมมติว่าคุณมีรายชื่อผู้ใช้ที่ได้รับอนุญาตตามอีเมลที่ส่งจากผู้ให้บริการ openid คนโกงบางคนตั้งค่าบริการผู้ให้บริการ OpenId ของตัวเองและรู้อีเมลของหนึ่งในผู้ใช้ที่ได้รับอนุญาตของคุณก่อนหน้านี้ คนหลอกลวงนั้นสามารถ 'พิสูจน์ตัวตน' ตัวเองในฐานะผู้ใช้ที่คุณยอมรับได้

หากคุณพยายามรักษาความปลอดภัยด้วย openId คุณต้องมีรายชื่อผู้ให้บริการที่คุณไว้ใจมิฉะนั้นคุณจะเปิดกว้างสำหรับทุกคนที่รู้วิธีตั้งค่าบริการของผู้ให้บริการ


3
คำตอบของคุณไม่ถูกต้อง นั่นไม่ใช่วิธีการทำงานของ OpenID ผู้ให้บริการ OpenID ไม่ผ่านที่อยู่อีเมลของผู้ใช้กลับไปที่เว็บไซต์เป็นชื่อผู้ใช้
longneck
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.