Чи існує небезпека у підроблених постачальників OpenID?

Мені було цікаво. Оскільки будь-хто може запустити постачальника OpenID, і оскільки немає центрального органу, який би схвалював провайдерів OpenID, чому б підроблені постачальники OpenID не стали проблемою?

Наприклад, спамер може запустити постачальника OpenID із заднім числом, щоб він дозволив аутентифікуватись як будь-який інший користувач, який підманув реєстрацію на своєму сайті. Чи можливо це? Чи є репутація провайдера єдиним, що перешкоджає цьому? Чи будемо ми в майбутньому побачити чорні списки постачальників OpenID та сайти, що оглядають постачальника OpenID?

Можливо, я щось зовсім не розумію про OpenID. Будь ласка, просвіти мене :)

OpenID НЕ є суто безпечним протоколом - він не має сили змусити неправомірного постачальника забезпечувати безпеку, а також не перевіряє кожного постачальника, щоб переконатися, що вони захищені.

OpenID - це механізм, за допомогою якого ви можете зберігати свої облікові дані у надійного постачальника, і вони перевірять вас іншим.

Якщо ви вибрали ненадійного постачальника, вони зможуть бачити та використовувати все, для чого ви можете використовувати свої облікові дані.

OpenID не є заміною довіри.

-Адам

Це було б майже те саме, що мати "фальшивого" постачальника електронної пошти, який би викрав електронну пошту для підтвердження користувачів тощо. Тільки репутація заважає цьому. Poeple реєструйтесь на gmail.com або hotmail.com, але не реєструйтесь на joesixpack.org.

Джефф має дуже приємну (і тривалу) публікацію у цій темі. Якщо він не відповість на ваші запитання, це неодмінно просвітить вас. У коментарі також призводить до дуже ілюстративним статей. Настійно рекомендується.

На сайті stackoverflow.com є подібні запитання, які можуть вам бути цікавими.

Єдиний спосіб я бачу проблему "шахрайського" сервера OpenID - це не така проблема безпеки веб-додатків. Те, що ви робите, хоча надає одному веб-сайту свою особу. Вони кажуть людям, хто ти є, але вони також мають доступ до цього. Якщо зловмисник налаштує сервер OpenID і люди почнуть його використовувати, власник шкідливої ​​служби може представити себе за когось, хто користується їх сервером.

Постає питання, чи довіряєте ви власникам вашого OpenID-сервера?

Моя проблема з OpenID в цілому полягає в тому, що він є новим, і немає жодних стандартів (про які я взагалі чула десь), які визначали б, що робить "хорошим" постачальником OpenID. Для даних про кредитну карту існують стандарти PCI-DSS для управління інформацією про кредитну карту - але немає еквівалента для особи

Зрозуміло, це нова технологія, яка зазвичай використовується для додатків з мінімальними вимогами довіри. Але на таких сайтах, як ServerFault, я вважаю, що вам потрібен рівень довіри, який вищий, ніж у блогу, але менший, ніж у банку чи онлайн-брокера.

Додавання до попередніх відповідей. Ще не знаєте про чорні списки OpenID, але існує список добровільних ініціатив щодо білих списків OpenID . Цей білий список є розподіленою технологією (подібно до електронної пошти, DNS, HTTPS certs), немає жодної точки відмови, немає єдиної точки довіри. Ви можете довіритися білим спискам деяких хлопців, і він може підробити це.

Існує думка, що ці білі списки повинні бути розширені, щоб надати більше інформації (звичайно, нікому, звичайно), наприклад, про діяльність користувачів, кількість публікацій, кількість попереджень від модераторів тощо. Оскільки OpenID є глобальною ідентичністю, це допоможе майже миттєво поширює інформацію на зразок цього користувача - спамер. Що змусить спамерів завжди використовувати новий ідентифікатор. Уявіть, що 1000 репутацій на сервері ServerFault робить вас як надійного користувача на тисячах інших веб-сайтів.

Для тих, хто думає, що користувачі OpenId повинні дозволити будь-якому постачальнику OpenId бути автентифікатором, це просто шалена розмова. Скажімо, у вас є список авторизованих користувачів на основі електронного листа, що передається від постачальників openid. Деякі шахраї налаштовують власну службу постачальника OpenId і знають електронну пошту одного з ваших раніше авторизованих користувачів. Тоді ця шахрая може «підтвердити» себе як прийнятого користувача.

Якщо ви намагаєтеся захиститись через openId, у вас повинен бути білий список постачальників, яким ви довіряєте, інакше ви досить широко відкриті для всіх, хто знає, як налаштувати послугу провайдера.