Есть ли опасность в поддельных провайдерах OpenID?
Мне было интересно. Поскольку любой может запустить провайдера OpenID, а центральный орган, который утверждает провайдеров OpenID, не существует, почему поддельные провайдеры OpenID не станут проблемой?
Например, спаммер мог запустить провайдера OpenID с бэкдором, чтобы позволить себе проходить аутентификацию как любой другой пользователь, которого обманули при регистрации на его сайте. Это возможно? Репутация провайдера - единственное, что этому мешает? Будем ли мы видеть черные списки провайдеров OpenID и сайты обзоров провайдеров OpenID в будущем?
Возможно, я не совсем понимаю что-то про OpenID. Пожалуйста, просветите меня:)
8 ответов
OpenID НЕ является искробезопасным протоколом - он не может заставить мошеннического поставщика обеспечить безопасность, а также не проверяет каждого поставщика на предмет его безопасности.
OpenID - это механизм, с помощью которого вы можете хранить свои учетные данные у доверенного поставщика, и они будут проверять вас другим.
Если вы выберете ненадежного поставщика, он сможет увидеть и использовать все, для чего вы можете использовать свои учетные данные.
OpenID не является заменой для доверия.
-Адам
Это было бы почти то же самое, что иметь "фальшивого" провайдера электронной почты, который бы угонял письма с подтверждением пользователей и т. Д. Только репутация препятствует этому. Poeple зарегистрироваться на gmail.com или hotmail.com, но не зарегистрироваться на joesixpack.org.
У Джеффа есть очень хороший (и длинный) пост в блоге на эту тему. Если он не ответит на ваши вопросы, он наверняка просветит вас. Комментарии также приводят к очень иллюстративным статьям. Настоятельно рекомендуется.
На stackoverflow.com есть несколько похожих вопросов, которые могут вас заинтересовать.
Единственный способ, которым я вижу, что проблема заключается в "мошенническом" сервере OpenID, это не проблема безопасности веб-приложения. Однако то, что вы делаете, - это предоставление одного веб-сайта с вашей идентификацией. Они говорят людям, кто вы есть, но вы также имеете к ним доступ. Если злоумышленник устанавливает сервер OpenID и люди начинают его использовать, владелец вредоносной службы может выдать себя за любого, кто использует свой сервер.
Вопрос сводится к тому, доверяете ли вы владельцам своего сервера OpenID?
Добавление к предыдущим ответам. Пока не знаю о черных списках OpenID, но есть волонтерская инициатива о белых списках OpenID. Этот белый список является распределенной технологией (так же, как электронная почта, DNS, сертификаты HTTPS), нет единой точки отказа, нет единой точки доверия. Вы можете доверять белому списку парней, а он может фальсифицировать его.
Существует мнение, что эти белые списки должны быть расширены для предоставления дополнительной информации (конечно, никому), такой как активность пользователя, количество постов, количество предупреждений от модераторов и т. Д. Поскольку OpenID - это глобальная идентификация, это поможет почти мгновенно распространяю информацию, как этот пользователь спамер. Что заставило бы спаммеров всегда использовать новый идентификатор. Представьте себе, что 1000 репутации на ServerFault делают вас также надежным пользователем на тысячах других веб-сайтов.
Моя проблема с OpenID в целом заключается в том, что он новый, и нет никаких стандартов (о которых я когда-либо слышал), которые бы определяли, что делает "хорошего" поставщика OpenID. Для данных кредитных карт существуют стандарты PCI-DSS для управления информацией о кредитных картах, но нет эквивалента для идентификации.
Конечно, это новая технология, которая обычно используется для приложений с минимальными требованиями "доверия". Но на таких сайтах, как ServerFault, я думаю, что вам нужен уровень доверия, который выше, чем у блога, но меньше, чем у банка или онлайн-брокера.
Для тех, кто думает, что потребители OpenId должны позволить любому провайдеру OpenId быть аутентификатором, это просто сумасшедший разговор. Допустим, у вас есть список авторизованных пользователей, основанный на электронном письме от openid провайдеров. Некоторые мошенники настраивают свою собственную службу провайдера OpenId и знают адрес электронной почты одного из ваших ранее авторизованных пользователей. Затем этот мошенник может "аутентифицировать" себя как вашего принятого пользователя.
Если вы пытаетесь обезопасить себя с помощью openId, у вас должен быть белый список поставщиков, которым вы доверяете, в противном случае вы в значительной степени открыты для всех, кто знает, как настроить службу поставщика.