Sahte OpenID sağlayıcılarında bir tehlike var mı?

27

Merak ediyordum Herhangi biri bir OpenID sağlayıcıyı başlatabildiğinden ve OpenID sağlayıcılarını onaylayan merkezi bir otorite olmadığından, neden sahte OpenID sağlayıcıları bir sorun haline gelmiyor?

Örneğin, bir spam göndericisi, kendi sitesinde kayıtlı olduğu herhangi bir kullanıcı olarak kimlik doğrulaması yapması için bir arka kapıya sahip bir OpenID sağlayıcısı başlatabilir. Mümkün mü? Sağlayan kişinin itibarı bunu önleyen tek şey midir? Gelecekte OpenID sağlayıcı kara listelerini ve OpenID sağlayıcı inceleme sitelerini görecek miyiz?

Muhtemelen OpenID hakkında hiçbir şey anlamıyorum. Lütfen beni aydınlat :)

security  openid 
amarillion
kaynak

Yanıtlar:

16

OpenID, kendinden güvenlikli bir protokol DEĞİLDİR - sahtekar bir sağlayıcıyı güvenlik sağlamaya zorlama gücüne sahip değildir ve güvenli olmalarını sağlamak için her bir sağlayıcıyı 'veterinere' götürmez.

OpenID, kimlik bilgilerinizi güvenilir bir sağlayıcıda saklayabileceğiniz bir mekanizmadır ve sizi başkalarına doğrular.

Güvenilmez bir sağlayıcı seçerseniz, kimlik bilgilerinizi kullanabileceğiniz her şeyi görebilir ve kullanabilirler.

OpenID, güven yerine geçmez.

-Adam

Adam Davis
kaynak
Ancak sistemin çalışması için örtük bir güven gerekmiyor mu? Google ve Yahoo OpenID kimlik bilgilerini kabul edersem ve bunlardan biri güvenilmez hale gelirse, kullanıcılarımın söylediklerine güvenemediğim bir durumda değil miyim?
duffbeer703
1
OpenID, kullanıcının müşteri web sitesinde herhangi bir şey olduğunu doğrulamak anlamına gelmez. Tek söylediği, "Şimdi oturum açan kişi, buradaki -kullanıcı-OpenID hesabını kuran aynı kişidir". Merkezi kullanıcı adı / şifre takibi için faydalı olabilir, ancak bu kullanıcı hakkında hiçbir şey garanti etmiyor. yalnızca OpenID sağlayıcısının uygun bir şekilde onları ikna edebileceği şekilde uygun referanslara sahip olduklarından.
Adam Davis,
Openid'i benzersiz bir tanımlayıcı dize olarak kullanıyorum. Bir haydut sağlayıcının bana başka bir sağlayıcıdaki okunaklı bazı kullanıcılarla aynı açık kimliğe sahip olma olasılığı var mı, diyor Yahoo?
Jus 12
15

"Sahte" e-posta sağlayıcısına sahip olmak, kullanıcıların onay e-postalarını vb. Kaçırmakla hemen hemen aynı olurdu. Poeple gmail.com ya da hotmail.com 'a kaydolur, ancak joesixpack.org' a kaydolmaz.

vartec
kaynak
Ancak mailinator.com adresinde tek kullanımlık e-postalar kaydediyorlar ve kendimi tek kullanımlık bir openid sağlayıcı arıyorum; OpenId gerektiren berbat bir sitede kayıt yaptırmaya ihtiyacım var ve "gerçek" G-hesabım veya FB hesabım altında kayıt yaptırmayı umursamıyorum.
dan3,
9

Jeff'in bu konuda çok hoş (ve uzun) bir blog günlüğü var. Sorularınıza cevap vermezse, kesinlikle sizi aydınlatır. Yorumlar da yol çok açıklayıcı makale. Şiddetle tavsiye edilir.

0

Bir "haydut" OpenID sunucusunu sorun olarak görebilmemin tek yolu bir web uygulaması güvenlik sorunu değil. Ne yapıyorsan yap, kimliğinle tek bir web sitesi sağlamak. İnsanlara sizin olduğunuzu söylüyorlar, ancak buna erişimi de var. Kötü niyetli bir kişi bir OpenID sunucusu kurar ve insanlar onu kullanmaya başlarsa, kötü niyetli hizmetin sahibi, sunucusunu kullanan herkesi taklit edebilir.

OpenID sunucunuzun sahiplerine güvenmeniz için soru geliyor mu?

TrueDuality
kaynak
0

Genel olarak OpenID ile ilgili sorunum yeni olduğu ve "iyi" bir OpenID sağlayıcı neyin neyin iyi olduğunu tanımlayan herhangi bir standart (herhangi bir yerde duyduğum kadarıyla) olmamasıdır. Kredi kartı verileri için, kredi kartı bilgilerini yönetmek için PCI-DSS standartları var - ancak kimlik için eşdeğer yok.

Verilen, genellikle en az "güven" gereksinimi olan uygulamalar için kullanılan yeni bir teknolojidir. Ancak ServerFault gibi sitelerde, bir blogdakinden daha büyük, ancak banka veya çevrimiçi brokerden daha az bir güven düzeyine ihtiyacınız olduğunu düşünüyorum.

duffbeer703
kaynak
Bir OpenID sağlayıcısının güvenlik gereksinimlerinize uygunluğunu değerlendirmek için potansiyel bir çerçeve Liberty Identity Assurance Framework'dür, ancak şu anda OpenID pazarında bunun farkındalığı çok azdır. projectliberty.org/strategic_initiatives/identity_assurance
keturn
0

Önceki cevaplara ekleme. Henüz OpenID kara listelerini bilmiyorum, ancak OpenID beyaz listelerinde gönüllü bir girişim var . Bu beyaz liste dağıtılmış bir teknolojidir (e-posta, DNS, HTTPS sertifikaları gibi), tek bir başarısızlık noktası yoktur, tek bir güven noktası yoktur. Bazı erkeklerin beyaz listesine güvenebilirsin, o da sahte olabilir.

Bu beyaz listenin, kullanıcı etkinliği, gönderilerin sayısı, moderatörlerin uyarıları, vs. gibi daha fazla bilgi (elbette hiç kimseye değil) sağlamak için genişletilmesi gerektiğine dair bir görüş var. Bu kullanıcı gibi neredeyse anında yayılan bir bilgi spamcıdır. Bu spam gönderenleri daima yeni bir kimlik kullanmaya zorlar. ServerFault'daki 1000 itibarın sizi binlerce başka web sitesinde de güvenilir kullanıcı yaptığını hayal edin.

temoto
kaynak
-2

OpenId tüketicilerinin herhangi bir OpenId sağlayıcısının bir onaylayıcı olmasına izin vermesi gerektiğini düşünenler için bu sadece çılgın bir konuşma. Açık artırma sağlayıcılarından geçen bir e-postaya dayanarak yetkili kullanıcıların bir listesine sahip olduğunuzu varsayalım. Bazı hileli kişiler kendi OpenId sağlayıcı servislerini kurar ve önceden yetkilendirilmiş kullanıcılarınızdan birinin e-postasını bilir. Bu hileli kişi daha sonra kabul ettiğiniz kullanıcı olarak kendini 'doğrulayabilir'.

OpenId ile güvenceye almaya çalışıyorsanız, güvendiğiniz sağlayıcıların beyaz bir listesine sahip olmalısınız, aksi takdirde sağlayıcı servisini nasıl kuracaklarını bilen herkese açıksınız.

Troy Jordan
kaynak
3
Cevabınız yanlış. OpenID böyle çalışmıyor. OpenID sağlayıcısı, kullanıcının e-posta adresini siteye kullanıcı adı olarak geri göndermez.
Longneck
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.