我一直在想。既然任何人都可以创建 OpenID 提供者,而且没有中央机构批准 OpenID 提供者,那么为什么伪造 OpenID 提供者不会成为问题?
例如,垃圾邮件发送者可以启动一个带有后门的 OpenID 提供程序,以让自己与被欺骗在其网站上注册的任何其他用户一样进行身份验证。这可能吗?提供者的声誉是唯一阻止这种情况的因素吗?我们将来会看到 OpenID 提供者黑名单和 OpenID 提供者审查网站吗?
可能我完全不了解 OpenID。请赐教:)
AskOverflow.Dev
我一直在想。既然任何人都可以创建 OpenID 提供者,而且没有中央机构批准 OpenID 提供者,那么为什么伪造 OpenID 提供者不会成为问题?
例如,垃圾邮件发送者可以启动一个带有后门的 OpenID 提供程序,以让自己与被欺骗在其网站上注册的任何其他用户一样进行身份验证。这可能吗?提供者的声誉是唯一阻止这种情况的因素吗?我们将来会看到 OpenID 提供者黑名单和 OpenID 提供者审查网站吗?
可能我完全不了解 OpenID。请赐教:)
这与拥有“假”电子邮件提供商几乎相同,这会劫持用户确认电子邮件等。只有声誉才能阻止这种情况。人们在 gmail.com 或 hotmail.com 上注册,但不要在 joesixpack.org 上注册。
OpenID 不是本质上安全的协议——它没有能力强制流氓提供者提供安全性,也没有“审查”每个提供者以确保它们是安全的。
OpenID 是一种机制,您可以通过该机制将您的凭据存储在受信任的提供商处,然后他们将向其他人验证您的身份。
如果您选择不值得信赖的提供商,他们可以查看和使用您可能使用您的凭据的所有内容。
OpenID 不是信任的替代品。
-亚当
Jeff 有一篇关于这个主题的非常好的(而且很长的)博客文章。如果它不能回答你的问题,它肯定会启发你。这些评论还导致了非常具有 说明性的文章。强烈推荐。
stackoverflow.com 上有一些您可能会感兴趣的类似问题。
我能看到“流氓”OpenID 服务器成为问题的唯一方法并不是 Web 应用程序安全问题。但是,您正在做的是为一个网站提供您的身份。他们告诉人们你是谁,但他们也可以访问它。如果恶意人员设置了 OpenID 服务器并且人们开始使用它,则恶意服务的所有者可以冒充任何人使用他们的服务器。
问题归结为您是否信任 OpenID 服务器的所有者?
总的来说,我对 OpenID 的问题是它是新的,并且没有任何标准(无论如何我在任何地方都听说过)来定义什么是“好”的 OpenID 提供者。对于信用卡数据,有用于管理信用卡信息的 PCI-DSS 标准——但没有等同于身份的标准。
诚然,它是一种新技术,通常用于具有最低“信任”要求的应用程序。但是在像 ServerFault 这样的网站上,我认为您需要的信任程度高于博客,但低于银行或在线经纪人。
添加到以前的答案。还不知道 OpenID 黑名单,但是OpenID 白名单上有一个志愿者倡议。该白名单是一种分布式技术(就像电子邮件、DNS、HTTPS 证书一样),没有单点故障,也没有单点信任。你可能相信一些人的白名单,他可以伪造它。
有一种观点认为,必须扩展这些白名单以提供更多信息(当然不是向任何人提供),例如用户活动、帖子数量、版主警告数量等。由于 OpenID 是一个全球身份,这将有助于几乎立即传播信息,例如该用户是垃圾邮件发送者。这将迫使垃圾邮件发送者始终使用新 ID。想象一下,ServerFault 上的 1000 名声望使您成为数千个其他网站上值得信赖的用户。
对于那些认为 OpenId 消费者应该让任何 OpenId 提供者成为身份验证者的人来说,这简直是胡说八道。假设您有一个基于从 openid 提供商传递的电子邮件的授权用户列表。一些流氓建立了他们自己的 OpenId 提供商服务,并且知道您以前授权的用户之一的电子邮件。然后,该流氓人可以将自己“验证”为您接受的用户。
如果您尝试使用 openId 进行保护,则必须有一个您信任的提供商白名单,否则您对任何知道如何设置提供商服务的人都非常开放。