Мне было интересно. Поскольку любой может запустить провайдера OpenID, а центральный орган, утверждающий провайдеров OpenID, не существует, почему поддельные провайдеры OpenID не станут проблемой?
Например, спаммер мог запустить провайдера OpenID с бэкдором, чтобы позволить себе проходить аутентификацию как любой другой пользователь, которого обманули при регистрации на его сайте. Это возможно? Репутация провайдера - единственное, что этому мешает? Будем ли мы видеть черные списки провайдеров OpenID и сайты обзоров провайдеров OpenID в будущем?
Возможно, я не совсем понимаю что-то про OpenID. Пожалуйста, просветите меня :)
Это было бы почти так же, как наличие «фальшивого» провайдера электронной почты, который мог бы похитить письма с подтверждением пользователей и т. Д. Только репутация препятствует этому. Poeple зарегистрироваться на gmail.com или hotmail.com, но не зарегистрироваться на joesixpack.org.
источник
У Джеффа есть очень хороший (и длинный) пост в блоге на эту тему. Если он не ответит на ваши вопросы, он наверняка просветит вас. В комментарии также приводит к очень иллюстративным статьям. Настоятельно рекомендуется.
источник
На stackoverflow.com есть несколько похожих вопросов , которые могут вас заинтересовать.
источник
Единственный способ, которым я вижу, что проблема заключается в "мошенническом" сервере OpenID, это не проблема безопасности веб-приложения. Однако то, что вы делаете, - это предоставление одного веб-сайта с вашей идентификацией. Они говорят людям, кто вы есть, но вы также имеете к ним доступ. Если злоумышленник устанавливает сервер OpenID и люди начинают его использовать, владелец вредоносной службы может выдать себя за любого, кто использует свой сервер.
Вопрос сводится к тому, доверяете ли вы владельцам своего сервера OpenID?
источник
Моя проблема с OpenID в целом в том, что он новый, и нет никаких стандартов (о которых я слышал в любом случае), которые бы определяли, что делает «хорошего» поставщика OpenID. Для данных кредитных карт существуют стандарты PCI-DSS для управления информацией о кредитных картах, но нет эквивалента для идентификации.
Конечно, это новая технология, которая обычно используется для приложений с минимальными требованиями «доверия». Но на таких сайтах, как ServerFault, я думаю, что вам нужен уровень доверия, который выше, чем у блога, но меньше, чем у банка или онлайн-брокера.
источник
Добавление к предыдущим ответам. Пока не знаю о черных списках OpenID, но есть волонтерская инициатива о белых списках OpenID . Этот белый список является распределенной технологией (так же, как электронная почта, DNS, сертификаты HTTPS), здесь нет единой точки отказа, нет единой точки доверия. Вы можете доверять белому списку парней, а он может фальсифицировать его.
Существует мнение, что эти белые списки должны быть расширены для предоставления дополнительной информации (конечно, никому), такой как активность пользователя, количество постов, количество предупреждений от модераторов и т. Д. Поскольку OpenID является глобальной идентификацией, это поможет почти мгновенно распространяю информацию, как этот пользователь спамер. Что заставило бы спаммеров всегда использовать новый идентификатор. Представьте себе, что 1000 репутации на ServerFault делают вас также надежным пользователем на тысячах других веб-сайтов.
источник
Для тех, кто думает, что потребители OpenId должны позволить любому провайдеру OpenId быть аутентификатором, это просто сумасшедший разговор. Допустим, у вас есть список авторизованных пользователей, основанный на электронном письме от openid провайдеров. Некоторые мошенники настраивают свою собственную службу провайдера OpenId и знают адрес электронной почты одного из ваших ранее авторизованных пользователей. Затем этот мошенник может «аутентифицировать» себя как вашего принятого пользователя.
Если вы пытаетесь обезопасить себя с помощью openId, у вас должен быть белый список поставщиков, которым вы доверяете, в противном случае вы в значительной степени открыты для всех, кто знает, как настроить службу поставщика.
источник