Kullanıcının OpenID Sağlayıcısı'nı (OP) belirtmesine izin veren Güvenen Taraflar (RP) için, bana OpenID'nizi bilen veya tahmin edebilen herkesten daha fazla görünüyor
RP, yalnızca OpenID'nin orijinal OP tarafından doğrulanmasına izin vererek bunu önlemek için önlemler alabilir, ancak ...
Yanıtlar:
OpenID, uç noktalara güvenmeniz gereken sistemlerden biridir. RP güvenilir değilse, bu tür bir dernek zehirlenmesi tamamen mümkündür. RP gerçekten güvenilirse, bu tür bir saldırı ÇOK daha zordur. Bu saldırıya karşı savunmasız olmamak için 'geçici çözüm' yerel güvenlik ilkesini (ServerFault'ta bu kullanıcı adınızın arka uç veritabanındaki temsili olacaktır) yabancı OpenID uç noktasıyla (OpenID URL'si, ServerFault) katları ilişkilendirmenize izin vermektir bunların).
RP'nin tarafındaki DNS zehirlenmesi saldırısı yoluyla yine de saldırabilirsiniz, öyle ki * .livejournal.com, saldırı için özel olarak oluşturduğunuz bir OP'ye yönlendirilir. Ama bu DNS zehirlenmesi saldırısı, OpenID'nin kendisinde bir hata değil. OpenID, DNS saldırısına karşı savunmasızdır.
Sanırım OpenID ve Kullanıcı Güvenliğinin diğer bölümlerini karıştırıyorsunuz. OP'niz hesabınız değil, kimlik doğrulama mekanizmasıdır. Burada ServerFault'da bir hesabınız var. Bu hesabın tek başına bir kimlik doğrulama yöntemi yoktur; bir veya daha fazla OP'ye yönlendirmeniz dışında.
Burada Hesabınıza SF olarak giriş yapmaya çalıştığınızda, OP'nizden Kimlik Doğrulama işlemini yapmasını ister. SF Hesabınızın amaçları için yalnızca bir OP (veya kurulumunuz varsa birden fazla OP) kimlik doğrulaması yapabilir.
Tipik bir giriş sisteminin üç kısmı vardır (üçlü "A" veya sadece "AAA" olarak adlandırılır):
Wikipedia'da AAA sistemleri hakkında daha fazla bilgi edinebilirsiniz .
David, varsayımın yanlış. OpenID şu şekilde çalışır: 1) relyingparty.com sitesine giriş yapmak istiyorsunuz 2) relyingparty.com'a OpenID'nizi veriyorsunuz, örneğin david.com 3) relyingparty.com david.com'u kontrol ediyor (hey, bu bir URL) david.com adresinde bulunan ancak başka bir yerde de yetki verme yoluyla, ör. yahoo.com veya google.com gibi, OpenID uç noktası olarak adlandırılır. diyelim ki davidsopenidprovider.com 4) Şimdi davidsopenidprovider.com'a yönlendirildiniz. davidsopenidprovider.com'un işi sizi doğrulamak. Davidsopenidprovider.com adresinde oturum açmalısınız. Bu giriş nasıl çalışır davidsopenidprovider.com kalmış. Kullanıcı adı / şifre olabilir, bilgi kartları, tarayıcı sertifikaları, parmak izleri, akıllı kartlar, çağrı doğrulama gibi bant dışı mekanizmalar olabilir ... Davidsopenidprovider'a kalmış. com kimlik doğrulamasını nasıl yönetir. Sonra gerçekten relyingparty.com giriş yapmak isteyip istemediğinizi sorar. 5) davidsopenidprovider.com'a başarıyla giriş yaptıysanız, relyingparty.com'a tekrar yönlendirileceksiniz ve otomatik olarak oraya giriş yapacaksınız. 6) davidsopenidprovider.com sadece relyingparty.com olduğunu iddia ettiğiniz kişi olduğunuzu garanti eder. Herhangi bir şifre göndermiyor.
Yani varsayımınız "Bir tüketici olarak, any-site.com'da bir hesap oluşturduğumda, geliştiricilerin / site yöneticilerinin zekası hakkında hiçbir fikrim yok." OpenID açısından yanlıştır. Zayıf bir nokta varsa, sağlayıcıdır, ancak any-site.com değildir. Geleneksel kullanıcı adı / şifre girişlerinde sorun bu. OpenID sağlayıcınız olan tek bir siteye değil, bu şekilde giriş yapan her siteye güvenmelisiniz.
Umarım bu OpenID'yi anlamaya yardımcı olur.
Yaptıklarını nereden biliyorsun?
Bildiğiniz gibi, eski herhangi bir site şifrenizin bir başkasına geçmekte olduğunu - bilmezsiniz. Bu yüzden saygın bir şirket olma olasılığını kullanıyorsunuz.
OpenID'nizi de değiştirmeden OP'nizi asla değiştiremezsiniz.
Tabi ki yapabilirsin. OpenID temsilcisine bakın.
OpenID'm http://ceejayoz.com/ , ancak OP'm WordPress.com. Http://ceejayoz.com/ adresindeki iki METAetiket bunu yapmama izin veriyor ve istediğim zaman değiştirebiliyorum.
OpenID'niz sağlayıcınızdır. pwnguin.netbenim openID'im. Bu tahmin etmeye tabi değildir, sadece bilinen bir gerçektir. OpenID'mi koruyan şey, yalnızca söz konusu ziyaretçinin bir Auth çerezine sahip olması halinde olumlu yanıt veren pwnguin.net üzerinde çalışan yazılımdır.
OpenID'nin güvenli olduğunu söylemeyeceğim; devam edebilecek her türlü çapraz site komut dosyası veya görmezden gelme veya yanlış yapma eğiliminde olduğum bazı sıradan ayrıntılar var.
Buradaki yanıtlardan kazandığım şey bu ...
OpenID yalnızca ilgili taraflar kadar güvenlidir ve bu herhangi bir kimlik doğrulama yöntemi için geçerlidir. Bu tartışmaya başlamadan önce fark ettim.
OpenID ile ilgili sorun, bana göre iki kat ...
LoginID'niz artık yalnızca sizinle ve kullandığınız site arasında paylaşılan bir sır değil. OpenID'nizdir ve kullandığınız her site tarafından bilinir ve bir e-posta adresi veya e-posta adresinizden veya benzer bir şeyden türetilen bir şey gibi kolayca tahmin edilebilir bir şeydir.
RP'ler, OpenIP'i güvenli bir şekilde geniş çapta kabul gören bir 'protokol' kullandıklarını varsayarak gerekli özeni göstermeden uygulayabilirler. Kabul edilen, çoğu işletme web sitesi geliştiricisinin bir siteyi nasıl güvence altına alacağına dair gerçek bir konsepti yoktur, ancak kendi güvenliklerini uygularlarsa en azından 1 numaralı sorun devreye girmez.
Bir tüketici olarak, any-site.com'da bir hesap oluşturduğumda, geliştiricilerin / site yöneticilerinin zekası hakkında hiçbir fikrim yok. Kolayca tahmin edilebileceğini düşünmediğim bir kimlik kullanıyorum. Serverfault.com'un Etrade.com'a giriş yapmak için kullandığım kimliği bilmesini istemiyorum. Ayrıca her sitede farklı bir şifre kullanıyorum ve bu şifreleri kendi şemayla yönetiyorum. Site operatörleri toplam salak değilse hesabımın oluşması pek olası değildir.
OpenID ile, WEB'deki herkes RP'nin uygun önlemleri almaması durumunda nasıl çalıştığını ve ona nasıl saldıracağını bilir.
Açık kaynaklı yazılımları seviyorum, ancak OpenID durumunda, şüphesiz benimsemeyenlerin daha düşük uygulamaları olacağına inanıyorum.
Tüm bunların, tüketicinin sitenin bir denetimden geçtiğini ve saldırılara karşı savunmasız olmadığını garanti eden imzalı bir onay mührü ile çözülebileceğini düşünüyorum.
Belki sadece paranoyakum.