Esiste un pericolo nei falsi provider OpenID?


27

Mi chiedevo. Dal momento che chiunque può avviare un provider OpenID e poiché non esiste un'autorità centrale che approvi i provider OpenID, perché i falsi provider OpenID non rappresentano un problema?

Ad esempio, uno spammer potrebbe avviare un provider OpenID con una backdoor per autenticarsi come qualsiasi altro utente a cui è stato indotto a registrarsi sul suo sito. È possibile? La reputazione del provider è l'unica cosa che impedisce questo? Vedremo blacklist dei provider OpenID e siti di recensioni dei provider OpenID in futuro?

Probabilmente non capisco completamente qualcosa su OpenID. Per favore, illuminami :)

Risposte:


16

OpenID NON è un protocollo intrinsecamente sicuro - non ha il potere di forzare un provider non autorizzato a fornire sicurezza, né "vet" controlla ogni provider per garantirne la sicurezza.

OpenID è un meccanismo in base al quale è possibile archiviare le proprie credenziali con un provider attendibile, che verrà verificato da altri.

Se scegli un provider non affidabile, possono vedere e utilizzare tutto ciò per cui potresti utilizzare le tue credenziali.

OpenID non sostituisce la fiducia.

-Adamo


Ma non è necessaria una fiducia implicita per far funzionare il sistema? Se accetto le credenziali OpenID di Google e Yahoo e una di esse diventa inaffidabile, allora non mi trovo in una situazione in cui non posso fidarmi del fatto che i miei utenti sono chi dicono di essere?
duffbeer703,

1
OpenID non ha lo scopo di verificare che l'utente sia qualcosa sul sito Web del client. Tutto quello che fa è dire "La persona che sta eseguendo l'accesso è la stessa persona che ha impostato qui -username- Account OpenID qui" che può essere utile per il tracciamento centralizzato di nome utente / password, ma non ti garantisce nulla su quell'utente - semplicemente che avevano le credenziali appropriate in modo tale che il provider OpenID fosse adeguatamente convinto che fossero loro.
Adam Davis,

Sto usando openid come stringa identificativa univoca. Esiste la possibilità che un provider canaglia mi dia lo stesso openid di un utente legittimo su un altro provider, ad esempio Yahoo?
Jus12

15

Sarebbe praticamente lo stesso di avere un provider di posta elettronica "falso", che dirotterebbe le email di conferma degli utenti ecc. Solo la reputazione lo impedisce. Poeple si registra su gmail.com o hotmail.com, ma non si registra su joesixpack.org.


Ma registrano e-mail usa e getta su mailinator.com e sto cercando un provider openid usa e getta; Ho bisogno di registrarmi su un sito schifoso che richiede openId e non mi interessa davvero registrarmi con il mio account G o FB "reale".
dan3

9

Jeff ha un post sul blog molto bello (e lungo) su questo argomento. Se non risponde alle tue domande, ti illuminerà sicuramente. I commenti portano anche a articoli molto illustrativi . Altamente raccomandato.



0

L'unico modo in cui riesco a vedere un problema con un server OpenID "non autorizzato" non è tanto un problema di sicurezza delle applicazioni web. Quello che stai facendo però è fornire a un sito web la tua identità. Dicono alle persone che sei chi sei, ma hanno anche accesso ad esso. Se una persona malintenzionata crea un server OpenID e le persone iniziano a usarlo, il proprietario del servizio dannoso potrebbe impersonare chiunque utilizzi il proprio server.

La domanda sorge spontanea: ti fidi dei proprietari del tuo server OpenID?


0

Il mio problema con OpenID in generale è che è nuovo e non ci sono standard (di cui ho sentito parlare ovunque) che definiscono ciò che rende un "buon" provider OpenID. Per i dati delle carte di credito, esistono standard PCI-DSS per la gestione delle informazioni sulle carte di credito, ma non equivalenti per l'identità.

Certo, è una nuova tecnologia che viene generalmente utilizzata per applicazioni con requisiti minimi di "fiducia". Ma su siti come ServerFault, penso che tu abbia bisogno di un livello di fiducia superiore a quello di un blog, ma inferiore a quello di una banca o di un broker online.


Un potenziale framework per la valutazione dell'idoneità di un provider OpenID per le tue esigenze di sicurezza è il Liberty Identity Assurance Framework, ma al momento c'è una scarsa consapevolezza di ciò nel mercato OpenID. projectliberty.org/strategic_initiatives/identity_assurance
keturn

0

Aggiunta a risposte precedenti. Non sono ancora a conoscenza delle blacklist OpenID, ma esiste un'iniziativa volontaria sulle whitelist OpenID . Quella whitelist è una tecnologia distribuita (proprio come posta elettronica, DNS, certificati HTTPS), non esiste un singolo punto di errore, non esiste un singolo punto di fiducia. Potresti fidarti della whitelist di alcuni ragazzi e lui può fingere.

Si ritiene che tali whitelist debbano essere estese per fornire ulteriori informazioni (non a nessuno, ovviamente), come l'attività degli utenti, il numero di post, il numero di avvisi da parte dei moderatori, ecc. Poiché OpenID è un'identità globale, ciò contribuirebbe a diffondere quasi istantaneamente informazioni come questo utente è uno spammer. Ciò costringerebbe gli spammer a usare sempre un nuovo ID. Immagina che la reputazione di 1000 su ServerFault ti rende anche un utente fidato su migliaia di altri siti Web.


-2

Per coloro che pensano che i consumatori OpenId dovrebbero lasciare che qualsiasi provider OpenId sia un autenticatore, è solo un discorso folle. Supponiamo che tu abbia un elenco di utenti autorizzati basato su un'email inviata da provider openid. Qualcuno disonesto imposta il proprio servizio di provider OpenId e conosce l'e-mail di uno degli utenti precedentemente autorizzati. Quella persona canaglia potrebbe quindi "autenticarsi" come utente accettato.

Se stai cercando di proteggere con openId, devi avere una lista bianca di fornitori di cui ti fidi, altrimenti sei praticamente aperto a chiunque sappia come impostare un servizio di provider.


3
La tua risposta è errata Non è così che funziona OpenID. Il provider OpenID non restituisce l'indirizzo e-mail dell'utente al sito come nome utente.
collo lungo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.