Esiste un pericolo nei falsi provider OpenID?

Mi chiedevo. Dal momento che chiunque può avviare un provider OpenID e poiché non esiste un'autorità centrale che approvi i provider OpenID, perché i falsi provider OpenID non rappresentano un problema?

Ad esempio, uno spammer potrebbe avviare un provider OpenID con una backdoor per autenticarsi come qualsiasi altro utente a cui è stato indotto a registrarsi sul suo sito. È possibile? La reputazione del provider è l'unica cosa che impedisce questo? Vedremo blacklist dei provider OpenID e siti di recensioni dei provider OpenID in futuro?

Probabilmente non capisco completamente qualcosa su OpenID. Per favore, illuminami :)

OpenID NON è un protocollo intrinsecamente sicuro - non ha il potere di forzare un provider non autorizzato a fornire sicurezza, né "vet" controlla ogni provider per garantirne la sicurezza.

OpenID è un meccanismo in base al quale è possibile archiviare le proprie credenziali con un provider attendibile, che verrà verificato da altri.

Se scegli un provider non affidabile, possono vedere e utilizzare tutto ciò per cui potresti utilizzare le tue credenziali.

OpenID non sostituisce la fiducia.

-Adamo

Sarebbe praticamente lo stesso di avere un provider di posta elettronica "falso", che dirotterebbe le email di conferma degli utenti ecc. Solo la reputazione lo impedisce. Poeple si registra su gmail.com o hotmail.com, ma non si registra su joesixpack.org.

Jeff ha un post sul blog molto bello (e lungo) su questo argomento. Se non risponde alle tue domande, ti illuminerà sicuramente. I commenti portano anche a articoli molto illustrativi . Altamente raccomandato.

Ci sono alcune domande simili su stackoverflow.com che potresti trovare interessanti.

L'unico modo in cui riesco a vedere un problema con un server OpenID "non autorizzato" non è tanto un problema di sicurezza delle applicazioni web. Quello che stai facendo però è fornire a un sito web la tua identità. Dicono alle persone che sei chi sei, ma hanno anche accesso ad esso. Se una persona malintenzionata crea un server OpenID e le persone iniziano a usarlo, il proprietario del servizio dannoso potrebbe impersonare chiunque utilizzi il proprio server.

La domanda sorge spontanea: ti fidi dei proprietari del tuo server OpenID?

Il mio problema con OpenID in generale è che è nuovo e non ci sono standard (di cui ho sentito parlare ovunque) che definiscono ciò che rende un "buon" provider OpenID. Per i dati delle carte di credito, esistono standard PCI-DSS per la gestione delle informazioni sulle carte di credito, ma non equivalenti per l'identità.

Certo, è una nuova tecnologia che viene generalmente utilizzata per applicazioni con requisiti minimi di "fiducia". Ma su siti come ServerFault, penso che tu abbia bisogno di un livello di fiducia superiore a quello di un blog, ma inferiore a quello di una banca o di un broker online.

Aggiunta a risposte precedenti. Non sono ancora a conoscenza delle blacklist OpenID, ma esiste un'iniziativa volontaria sulle whitelist OpenID . Quella whitelist è una tecnologia distribuita (proprio come posta elettronica, DNS, certificati HTTPS), non esiste un singolo punto di errore, non esiste un singolo punto di fiducia. Potresti fidarti della whitelist di alcuni ragazzi e lui può fingere.

Si ritiene che tali whitelist debbano essere estese per fornire ulteriori informazioni (non a nessuno, ovviamente), come l'attività degli utenti, il numero di post, il numero di avvisi da parte dei moderatori, ecc. Poiché OpenID è un'identità globale, ciò contribuirebbe a diffondere quasi istantaneamente informazioni come questo utente è uno spammer. Ciò costringerebbe gli spammer a usare sempre un nuovo ID. Immagina che la reputazione di 1000 su ServerFault ti rende anche un utente fidato su migliaia di altri siti Web.

Per coloro che pensano che i consumatori OpenId dovrebbero lasciare che qualsiasi provider OpenId sia un autenticatore, è solo un discorso folle. Supponiamo che tu abbia un elenco di utenti autorizzati basato su un'email inviata da provider openid. Qualcuno disonesto imposta il proprio servizio di provider OpenId e conosce l'e-mail di uno degli utenti precedentemente autorizzati. Quella persona canaglia potrebbe quindi "autenticarsi" come utente accettato.

Se stai cercando di proteggere con openId, devi avere una lista bianca di fornitori di cui ti fidi, altrimenti sei praticamente aperto a chiunque sappia come impostare un servizio di provider.