Ich habe mich gefragt. Da jeder einen OpenID-Provider starten kann und es keine zentrale Behörde gibt, die OpenID-Provider genehmigt, warum werden gefälschte OpenID-Provider nicht zum Problem?
Ein Spammer könnte beispielsweise einen OpenID-Anbieter mit einer Hintertür starten, um sich als jeder andere Benutzer zu authentifizieren, der dazu verleitet wurde, sich auf seiner Site zu registrieren. Ist das möglich? Ist der Ruf des Anbieters das einzige, was dies verhindert? Werden wir in Zukunft OpenID Provider Blacklists und OpenID Provider Review Sites sehen?
Wahrscheinlich verstehe ich etwas über OpenID nicht ganz. Bitte erleuchte mich :)
Es wäre so ziemlich dasselbe, als hätte man einen "gefälschten" E-Mail-Anbieter, der Benutzer-Bestätigungs-E-Mails usw. entführt. Nur die Reputation verhindert dies. Leute registrieren sich auf gmail.com oder hotmail.com, aber nicht auf joesixpack.org.
quelle
Jeff hat einen sehr schönen (und langen) Weblog-Beitrag zu diesem Thema. Wenn es Ihre Fragen nicht beantwortet, wird es Sie sicherlich aufklären. Die Kommentare führen auch zu sehr anschaulichen Artikeln. Sehr empfehlenswert.
quelle
Es gibt einige ähnliche Fragen auf stackoverflow.com , die Sie interessieren könnten.
quelle
Die einzige Möglichkeit, wie ich sehe, dass ein "betrügerischer" OpenID-Server ein Problem darstellt, ist nicht so sehr ein Sicherheitsproblem für Webanwendungen. Was Sie jedoch tun, ist die Bereitstellung einer Website mit Ihrer Identität. Sie sagen den Leuten, dass Sie sind, wer Sie sind, aber sie haben auch Zugang dazu. Wenn eine böswillige Person einen OpenID-Server einrichtet und Benutzer damit beginnen, ihn zu verwenden, kann der Eigentümer des böswilligen Dienstes die Identität eines jeden annehmen, der seinen Server verwendet.
Die Frage lautet, ob Sie den Eigentümern Ihres OpenID-Servers vertrauen.
quelle
Mein Problem mit OpenID im Allgemeinen ist, dass es neu ist und es keine Standards gibt (von denen ich sowieso überall gehört habe), die definieren, was einen "guten" OpenID-Anbieter ausmacht. Für Kreditkartendaten gibt es PCI-DSS-Standards für die Verwaltung von Kreditkarteninformationen - für die Identität jedoch keine Entsprechung.
Zugegeben, es ist eine neue Technologie, die im Allgemeinen für Anwendungen mit minimalen "Vertrauens" -Anforderungen verwendet wird. Aber auf Websites wie ServerFault ist meines Erachtens ein höheres Maß an Vertrauen erforderlich als bei einem Blog, jedoch weniger als bei einer Bank oder einem Online-Broker.
quelle
Hinzufügen zu vorherigen Antworten. Ich weiß noch nichts über OpenID-Blacklists, aber es gibt eine Freiwilligeninitiative für OpenID-Whitelists . Diese Whitelist ist eine verteilte Technologie (genau wie E-Mail-, DNS- und HTTPS-Zertifikate). Es gibt keine zentrale Fehlerquelle und keine zentrale Vertrauensquelle. Sie können der Whitelist einiger Leute vertrauen, und er kann sie vortäuschen.
Es gibt die Meinung, dass diese Whitelists erweitert werden müssen, um mehr Informationen (natürlich nicht an Dritte) zu liefern, wie Benutzeraktivität, Anzahl der Beiträge, Anzahl der Warnungen von Moderatoren usw. Da OpenID eine globale Identität ist, würde dies helfen Informationen wie dieser Benutzer verbreiten sich fast augenblicklich als Spammer. Das würde Spammer zwingen, immer eine neue ID zu verwenden. Stellen Sie sich vor, 1000 Reputation bei ServerFault macht Sie zu einem vertrauenswürdigen Benutzer auf Tausenden anderer Websites.
quelle
Für diejenigen, die glauben, OpenId-Konsumenten sollten jeden OpenId-Anbieter als Authentifikator betrachten, ist das einfach verrückt. Angenommen, Sie haben eine Liste autorisierter Benutzer, die auf einer E-Mail basiert, die von OpenID-Anbietern weitergeleitet wurde. Eine betrügerische Person richtet ihren eigenen OpenId-Dienst ein und kennt die E-Mail-Adresse eines Ihrer zuvor autorisierten Benutzer. Diese betrügerische Person könnte sich dann als Ihr akzeptierter Benutzer "authentifizieren".
Wenn Sie versuchen, mit openId zu sichern, müssen Sie eine weiße Liste von Anbietern haben, denen Sie vertrauen, andernfalls sind Sie für jeden, der weiß, wie man einen Anbieterdienst einrichtet, ziemlich offen.
quelle