Có nguy hiểm trong các nhà cung cấp OpenID giả không?

Tôi đã tự hỏi. Vì bất kỳ ai cũng có thể bắt đầu một nhà cung cấp OpenID và vì không có cơ quan trung ương nào phê duyệt các nhà cung cấp OpenID, tại sao các nhà cung cấp OpenID giả mạo lại trở thành một vấn đề?

Ví dụ: một người gửi thư rác có thể bắt đầu một nhà cung cấp OpenID có cửa sau để cho phép anh ta xác thực như bất kỳ người dùng nào khác bị lừa đăng ký trên trang web của mình. Điều này có thể không? Có phải danh tiếng của nhà cung cấp là điều duy nhất ngăn chặn điều này? Chúng ta sẽ thấy danh sách đen nhà cung cấp OpenID và các trang web đánh giá nhà cung cấp OpenID trong tương lai?

Có lẽ tôi không hiểu gì về OpenID hoàn toàn. Vui lòng làm sáng tỏ cho tôi :)

OpenID KHÔNG phải là một giao thức an toàn nội tại - nó không có khả năng buộc một nhà cung cấp giả mạo cung cấp bảo mật, cũng như không 'bác sĩ' mỗi nhà cung cấp để đảm bảo an toàn.

OpenID là một cơ chế theo đó bạn có thể lưu trữ thông tin đăng nhập của mình với nhà cung cấp đáng tin cậy và sau đó họ sẽ xác minh bạn với người khác.

Nếu bạn chọn một nhà cung cấp không đáng tin cậy, họ có thể xem và sử dụng mọi thứ bạn có thể sử dụng thông tin đăng nhập của bạn.

OpenID không phải là sự thay thế cho niềm tin.

-Adam

Nó sẽ khá giống với việc có nhà cung cấp email "giả mạo", sẽ đánh cắp email xác nhận của người dùng, v.v. Chỉ có danh tiếng là ngăn chặn điều đó. Poeple đăng ký trên gmail.com hoặc hotmail.com, nhưng không đăng ký trên joesixpack.org.

Jeff có một bài đăng weblog rất hay (và dài) về chủ đề này. Nếu nó không trả lời câu hỏi của bạn, nó chắc chắn sẽ khai sáng cho bạn. Các ý kiến cũng dẫn đến các bài viết rất minh họa . Rat khuyen khich.

Có một số câu hỏi tương tự trên stackoverflow.com mà bạn có thể thấy thú vị.

Cách duy nhất tôi có thể thấy một máy chủ OpenID "lừa đảo" là một vấn đề không phải là vấn đề bảo mật ứng dụng web rất nhiều. Những gì bạn đang làm mặc dù đang cung cấp một trang web với Danh tính của bạn. Họ nói với mọi người rằng bạn là ai, nhưng họ cũng có quyền truy cập vào nó. Nếu một người độc hại thiết lập máy chủ OpenID và mọi người bắt đầu sử dụng nó, chủ sở hữu dịch vụ độc hại có thể mạo danh bất kỳ ai sử dụng máy chủ của họ.

Câu hỏi đặt ra là bạn có tin tưởng chủ sở hữu máy chủ OpenID của mình không?

Vấn đề của tôi với OpenID nói chung là nó mới và không có bất kỳ tiêu chuẩn nào (dù sao tôi cũng đã nghe về bất cứ nơi nào) xác định điều gì tạo nên một nhà cung cấp OpenID "tốt". Đối với dữ liệu thẻ tín dụng, có các tiêu chuẩn PCI-DSS để quản lý thông tin thẻ tín dụng - nhưng không tương đương với danh tính.

Cấp, đó là một công nghệ mới thường được sử dụng cho các ứng dụng có yêu cầu "tin cậy" tối thiểu. Nhưng trên các trang web như ServerFault, tôi nghĩ rằng bạn cần một mức độ tin cậy lớn hơn so với blog, nhưng ít hơn so với ngân hàng hoặc nhà môi giới trực tuyến.

Thêm vào câu trả lời trước. Chưa biết về danh sách đen OpenID, nhưng có một sáng kiến ​​tình nguyện về danh sách trắng OpenID . Danh sách trắng đó là một công nghệ phân tán (giống như e-mail, DNS, HTTPS certs), không có điểm thất bại duy nhất, không có điểm tin cậy duy nhất. Bạn có thể tin tưởng danh sách trắng của một số người và anh ta có thể giả mạo nó.

Có ý kiến ​​cho rằng những danh sách trắng đó phải được mở rộng để cung cấp thêm thông tin (tất nhiên không phải cho bất kỳ ai), như hoạt động của người dùng, số bài đăng, số cảnh báo từ người điều hành, v.v. Vì OpenID là danh tính toàn cầu, sẽ giúp thông tin lan truyền gần như ngay lập tức như người dùng này là một người gửi thư rác. Điều này sẽ buộc những kẻ gửi thư rác luôn sử dụng id mới. Hãy tưởng tượng rằng 1000 danh tiếng trên ServerFault khiến bạn cũng là người dùng đáng tin cậy trên hàng ngàn trang web khác.

Đối với những người nghĩ rằng người tiêu dùng OpenId nên để bất kỳ nhà cung cấp OpenId nào là người xác thực, đó chỉ là một cuộc nói chuyện điên rồ. Giả sử bạn có một danh sách người dùng được ủy quyền dựa trên email được chuyển từ các nhà cung cấp mở. Một số người lừa đảo thiết lập dịch vụ nhà cung cấp OpenId của riêng họ và biết email của một trong những người dùng được ủy quyền trước đây của bạn. Người lừa đảo đó sau đó có thể 'xác thực' mình là người dùng được chấp nhận của bạn.

Nếu bạn đang cố gắng bảo mật với openId, bạn phải có một danh sách trắng các nhà cung cấp mà bạn tin tưởng, nếu không, bạn sẽ mở rộng cho bất kỳ ai biết cách thiết lập dịch vụ của nhà cung cấp.