มีอันตรายในผู้ให้บริการ OpenID ปลอมหรือไม่?

ฉันสงสัยว่า เนื่องจากใคร ๆ ก็สามารถเริ่มต้นผู้ให้บริการ OpenID ได้และเนื่องจากไม่มีหน่วยงานกลางที่อนุมัติผู้ให้บริการ OpenID ทำไมผู้ให้บริการ OpenID ปลอมจะไม่เป็นปัญหา

ตัวอย่างเช่นผู้ส่งสแปมสามารถเริ่มต้นผู้ให้บริการ OpenID ด้วยแบ็คดอร์เพื่อให้เขาตรวจสอบสิทธิ์กับผู้ใช้รายอื่นที่ถูกหลอกให้ลงทะเบียนในเว็บไซต์ของเขา เป็นไปได้ไหม ชื่อเสียงของผู้ให้บริการเป็นสิ่งเดียวที่ป้องกันไม่ให้เกิดขึ้น เราจะไปดูบัญชีดำของผู้ให้บริการ OpenID และเว็บไซต์ตรวจสอบของผู้ให้บริการ OpenID ในอนาคตหรือไม่

อาจเป็นเพราะฉันไม่เข้าใจบางสิ่งเกี่ยวกับ OpenID อย่างสมบูรณ์ โปรดให้ความกระจ่างแก่ฉัน :)

OpenID ไม่ใช่โปรโตคอลที่ปลอดภัยอย่างแท้จริง - ไม่มีอำนาจบังคับให้ผู้ให้บริการโกงเพื่อให้ความปลอดภัยและไม่ได้เป็นผู้ให้บริการแต่ละรายเพื่อให้มั่นใจว่าพวกเขาปลอดภัย

OpenID เป็นกลไกที่คุณสามารถจัดเก็บข้อมูลรับรองของคุณกับผู้ให้บริการที่เชื่อถือได้และพวกเขาจะยืนยันคุณกับผู้อื่น

หากคุณเลือกผู้ให้บริการที่ไม่น่าเชื่อถือพวกเขาสามารถเห็นและใช้ทุกสิ่งที่คุณอาจใช้ข้อมูลรับรองของคุณ

OpenID ไม่ใช่การแทนที่ความน่าเชื่อถือ

อดัม

มันจะเหมือนกับว่ามีผู้ให้บริการอีเมล "ปลอม" ที่จะขโมยผู้ใช้ยืนยันอีเมล ฯลฯ มีเพียงชื่อเสียงเท่านั้นที่ป้องกันไม่ให้ Poeple ทำการลงทะเบียนบน gmail.com หรือ hotmail.com แต่อย่าลงทะเบียนใน joesixpack.org

เจฟฟ์มีความสุขมาก (และยาว) โพสต์เว็บบล็อกในหัวข้อนี้ หากไม่ตอบคำถามของคุณแน่นอนจะทำให้คุณรู้แจ้ง ความคิดเห็นยังนำไปสู่มาก ตัวอย่างบทความ แนะนำเป็นอย่างยิ่ง

มีคำถามที่คล้ายกันบางอย่างใน stackoverflow.comที่คุณอาจสนใจ

วิธีเดียวที่ฉันจะเห็นเซิร์ฟเวอร์ "โกง" เป็นปัญหาไม่ได้เป็นปัญหาด้านความปลอดภัยของเว็บแอปพลิเคชันมากนัก สิ่งที่คุณกำลังทำอยู่คือให้เว็บไซต์หนึ่งที่มีข้อมูลประจำตัวของคุณ พวกเขาบอกคนที่คุณเป็นคุณ แต่พวกเขายังสามารถเข้าถึงได้ หากผู้ประสงค์ร้ายตั้งค่าเซิร์ฟเวอร์ OpenID และผู้คนเริ่มใช้งานเจ้าของบริการที่เป็นอันตรายอาจปลอมตัวเป็นใครก็ตามที่ใช้เซิร์ฟเวอร์ของตน

คำถามเกิดขึ้นเพื่อให้คุณเชื่อมั่นในเจ้าของเซิร์ฟเวอร์ OpenID ของคุณหรือไม่

ปัญหาของฉันกับ OpenID โดยทั่วไปคือมันใหม่และไม่มีมาตรฐานใด ๆ (ที่ฉันเคยได้ยินเกี่ยวกับที่ใดก็ได้) ที่กำหนดสิ่งที่ทำให้ผู้ให้บริการ OpenID "ดี" สำหรับข้อมูลบัตรเครดิตมีมาตรฐาน PCI-DSS สำหรับการจัดการข้อมูลบัตรเครดิต - แต่ไม่เทียบเท่ากับข้อมูลประจำตัว

ได้รับมันเป็นเทคโนโลยีใหม่ที่ใช้โดยทั่วไปสำหรับการใช้งานที่มีความต้องการ "ความน่าเชื่อถือ" น้อยที่สุด แต่ในเว็บไซต์อย่าง ServerFault ฉันคิดว่าคุณต้องมีระดับความน่าเชื่อถือที่มากกว่าบล็อก แต่น้อยกว่าของธนาคารหรือโบรกเกอร์ออนไลน์

การเพิ่มคำตอบก่อนหน้า ยังไม่รู้เกี่ยวกับบัญชีดำ OpenID แต่มีความคิดริเริ่มอาสาสมัครในบัญชีขาว OpenID รายการที่อนุญาตนั้นเป็นเทคโนโลยีแบบกระจาย (เช่นอีเมล, DNS, HTTPS certs) ไม่มีความล้มเหลวในจุดเดียวไม่มีความน่าเชื่อถือเพียงจุดเดียว คุณอาจเชื่อถือรายการที่อนุญาตของผู้ชายบางคนและเขาสามารถปลอมได้

มีความเห็นว่าต้องเพิ่มรายชื่อบัญชีขาวเพื่อให้ข้อมูลเพิ่มเติม (ไม่ใช่เพื่อใคร) แน่นอนเช่นกิจกรรมของผู้ใช้จำนวนโพสต์จำนวนคำเตือนจากผู้ดูแลเป็นต้นเนื่องจาก OpenID เป็นตัวตนระดับโลกที่จะช่วย ข้อมูลที่แพร่กระจายเกือบจะทันทีเช่นผู้ใช้รายนี้เป็นผู้ส่งสแปม ซึ่งจะบังคับให้ผู้ส่งอีเมลขยะใช้รหัสใหม่เสมอ ลองนึกภาพว่า 1,000 ชื่อเสียงใน ServerFault ทำให้คุณเป็นผู้ใช้ที่ไว้วางใจในเว็บไซต์อื่น ๆ หลายพันเว็บไซต์

สำหรับผู้ที่คิดว่าผู้บริโภค OpenId ควรปล่อยให้ผู้ให้บริการ OpenId ใด ๆ เป็นผู้รับรองความถูกต้องนั่นเป็นเพียงการพูดคุยอย่างบ้าคลั่ง สมมติว่าคุณมีรายชื่อผู้ใช้ที่ได้รับอนุญาตตามอีเมลที่ส่งจากผู้ให้บริการ openid คนโกงบางคนตั้งค่าบริการผู้ให้บริการ OpenId ของตัวเองและรู้อีเมลของหนึ่งในผู้ใช้ที่ได้รับอนุญาตของคุณก่อนหน้านี้ คนหลอกลวงนั้นสามารถ 'พิสูจน์ตัวตน' ตัวเองในฐานะผู้ใช้ที่คุณยอมรับได้

หากคุณพยายามรักษาความปลอดภัยด้วย openId คุณต้องมีรายชื่อผู้ให้บริการที่คุณไว้ใจมิฉะนั้นคุณจะเปิดกว้างสำหรับทุกคนที่รู้วิธีตั้งค่าบริการของผู้ให้บริการ