Чи не міг будь-який веб-сервер, для якого потрібен логін OpenID, таємно зберігати мій пароль та отримати доступ до моїх облікових записів?
Якщо ні, то чому б і ні?
Чи не міг будь-який веб-сервер, для якого потрібен логін OpenID, таємно зберігати мій пароль та отримати доступ до моїх облікових записів?
Якщо ні, то чому б і ні?
Відповіді:
Вони не можуть, оскільки ви надсилаєте свій пароль лише своєму постачальнику OpenID. Однак є ризик, що сайт може надіслати вас фальшивому постачальнику, який збирає ваш пароль, тому важливо ще раз перевірити правильність URI, перш ніж вводити свій пароль.
Вся суть відкритого ідентифікатора полягає в тому, що він переносить вас на безпечний веб-сайт, який запитує ваш пароль (ваш відкритий постачальник ідентифікаторів), який потім надсилає на сайт лише запит інформації (наприклад, адресу електронної пошти, ім’я тощо) .).
Для детального пояснення того, як це працює, перегляньте статтю Вікіпедії про те, що відбувається під час входу .
Також важливо розглянути альтернативу. Загальновідомо, що люди повторно використовують імена та паролі облікових записів на більшості сайтів. Уявіть собі злий сайт, який спонукає людей створювати акаунти. Користувач створює обліковий запис john_doe / xyzzy. Злий сайт тепер може перевірити, чи працюють ці облікові дані на amazon.com, ebay.com і т. Д. Я використовую Google як мій провайдер OpenId, і я припускаю, що Google навряд чи буде займатися дрібними крадіжками, як, наприклад, як випадковий власник форуму може.