Какие причины НЕ состоят в том, чтобы там использовать OpenID?

([+-]?\d+\.\d+)

предполагает, что перед десятичной точкой

есть ведущая цифра, см. демонстрацию в Rubular

58
задан cletus 3 January 2009 в 23:32
поделиться

16 ответов

Средние пользователи все еще не понимают, каков OpenId, что это для, или как использовать его. Мои родители не были бы в состоянии войти в систему к Переполнению стека, например.

Однако это в основном о пользовательском интерфейсе. Нет ничего по сути препятствования тому, чтобы они использовали OpenId - им просто нужен пользовательский интерфейс, что краткие обзоры далеко OpenId от них, и просто позволяют им войти в систему с их учетной записью Google (например).

45
ответ дан Scotty Allen 7 November 2019 в 15:07
поделиться

Я удивлен, что кто-то, который использовал Переполнение стека, не мог думать о причине НЕ использовать OpenId - потому что это является раздражающим как ад?!

Ted Dziuba сделал намного лучшее задание разрыв в OpenId, чем я буду, поэтому просто считать то, что он записал.

Другое серьезное основание - Подключение Facebook уже, кажется, делает очень хорошо. В то время как членство Facebook продолжает расти, оно собирается заставить Подключение Facebook поддерживать это намного более ценное.

В какой-то момент я предполагаю, что Facebook мог сделать Подключение поставщиком OpenId..., но действительно, почему они захотят?

0
ответ дан bpapa 7 November 2019 в 15:07
поделиться

существует много причин, это - одна учетная запись, которая делает доступ ко всем. если это поставилось под угрозу, Вы входите в проблему.

при установке страницы, которая использует открытый, тогда необходимо знать, что все могут установить открытый сервер того (также спаммеры могут сделать это).

-

, но открытый имеет хорошие идеи, и мне нравится использовать его!

0
ответ дан Bernd Ott 7 November 2019 в 15:07
поделиться

Все могут соединить вещи, которые я делаю на одном сайте к вещам, которые я делаю на других сайтах при использовании OpenID, потому что это - то же везде. Таким образом, я не использовал бы тот же идентификатор, я использую здесь для порносайта, например.

0
ответ дан Bob 7 November 2019 в 15:07
поделиться

Если у Вас есть сайт, который требует высокого уровня безопасности, Вы не хотите оставлять обработку своих данных для входа в систему внешнему поставщику, где Вы не имеете никакого контроля над доступом. Если поставщик OpenID взламывается, Вы оставляете свою безопасность до них.

1
ответ дан MattBelanger 7 November 2019 в 15:07
поделиться

Это хорошо как дополнение к нормальной регистрации, но не очень просто в использовании, если это - единственный способ войти в Ваш сайт. Взгляд на регистрацию на stackoverflow - все сайты особенно упоминаются, чтобы помочь людям понять то, что это всем о. И этот сайт для фанатов:) Так минус сложность.

Также см. эта ссылка

2
ответ дан Malx 7 November 2019 в 15:07
поделиться

OpenID хорош, если все сайты используют его. Но зарегистрироваться к OpenID только для использования ОДНОГО сайта это немного слишком много. Регистрация к OpenID не так проста как непосредственно регистрирующийся в сайте (с потребительской точки зрения).

3
ответ дан luiscubal 7 November 2019 в 15:07
поделиться

OpenID все еще так же небезопасен как любой основанный на пароле метод аутентификации там. На самом деле это еще хуже, потому что, если кто-то получает доступ к Вашему OpenID, у них есть больше, чем просто что одна учетная запись теперь. Конечно, существуют также фишинговые атаки, но мы - все опытные программисты, база данных и системные администраторы, таким образом, мы не попались бы на такие вещи, правильно?

Защита аутентификации основана на доверии. Как другие указали, почему Вы доверите третье лицо потенциально уязвимой информации? Несомненно, можно ли настроить сервер OpenID сами, но сколько стычка то, что по сравнению с поддержанием отдельных паролей в нескольких системах? Несомненно, можно создать безопасные пароли, которые долги и полны неалфавитно-цифровых символов, и даже хранят их всех в менеджере паролей (я делаю), но некоторые сайты испорчены в этом, форма восстановления простого пароля может быть заполнена для получения доступа для изменения пароля.

я, вероятно, был бы склонен поддерживать и даже проповедовать христианство OpenID, если бы он действительно защищал основанную на закрытом ключе аутентификацию, а-ля SSH или PGP. Возможно, это - вопрос поставщика, предлагающего такой метод - я [еще] не изучил его.

Наконец, в то время как все мы доверяем OpenID достаточно для использования его для аутентификации на Переполнении стека, мой OpenID является "предметом одноразового использования", и не как я использую это в качестве профессионального инструмента разработки репутации (т.е., мое настоящее имя не включено;-)). Я уверен, что я не единственный (как прохладный и потрясающий, как этот сайт!).

5
ответ дан jtimberman 7 November 2019 в 15:07
поделиться

Да безопасность. Используя OpenId помещает Вас во власти их управляющий их учетными записями. Вы не имеете никакого контроля над безопасностью пароля и идентификаторами пользователей. Вы доверяете некоторой другой организации, чтобы проверить, что люди, приезжающие в Ваш сайт, - то, кто они говорят, что они. Если необходимо действительно проверить, что кто-то - то, кто они говорят, что они. Вы не получите это с открытым идентификатором, не делая своего рода вторичной проверки сами. в этом случае Вы не могли бы также просто использовать OpenId.

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

12
ответ дан kemiller2002 7 November 2019 в 15:07
поделиться

Это подходит много.

А хорошее правило:

, Если необходимо собрать и сохранить частную идентифицирующую персональную информацию, не используйте OpenID.

, Если Вы не должны собрать и сохранить частную идентифицирующую персональную информацию, разрешение и предложить OpenID как метод для входа в систему.

Для электронной коммерции, или где-либо еще что необходимо выполнить сертификацию PCI/DSS, я не использовал бы OpenID.

я не возражаю, это ТАК - исключительно OpenID, однако я не сделал бы сайт, который использовал его исключительно.

9
ответ дан Tim Post 7 November 2019 в 15:07
поделиться

OpenID эффектно восприимчив к попыткам фишинга. При выполнении сайта OpenID попытайтесь изменить страницу входа в систему однажды, чтобы запросить идентификатор и пароль вместо нормального подхода только запроса идентификатора и перенаправления поставщику OpenID запросить пароль пользователя. Я держал пари, что можно преобладать над одной четвертью паролей пользователя этот путь.

19
ответ дан Ross 7 November 2019 в 15:07
поделиться

Это может быть немного неточно, чтобы сказать, что средний человек не понимает OpenID.

В большинстве случаев, с небольшим убедительным маркетингом (т.е. "ИСПОЛЬЗОВАНИЕ ОДИН ВХОД В СИСТЕМУ НА ВСЕХ САЙТАХ!!! 11!) они могут понять, что это позволяет им входить в систему на сайтах с помощью одного входа в систему вместо того, чтобы иметь набор различных имен пользователей и паролей на различных сайтах.

проблема, однако, состоит в том, что среднему пользователю, целый опыт OpenID идет вразрез с тем, чем они полагают, что сетевая безопасность.

  • Пользователи не будут автоматически доверять ему

    С нормальными логинами имени пользователя/пароля, пользователи понимают, что пароль должен держаться в секрете, и это - то, что защищает их конфиденциальность, когда они входят в систему на сайте. Как они должны понять обмен, который продолжается между клиентским сайтом OpenID и их поставщиком OpenID? Все, что они знают, они не должны были вставлять пароль (предполагающий, что они "всегда зарегистрированы" в их поставщике OpenID) - таким образом, это не безопасно, правильно? Я имею в виду в глазах пользователя, как это может быть безопасно, если они не дали пароль? Это может привести к пользовательскому недоверию.

  • Это делает фишинг легким

    (Много), пользователи знают, что неправильно снова использовать тот же пароль для различных учетных записей, все же это, кажется, точно, что делает OpenID. Что, если пользователь просто предполагает, что весь их поставщик OpenID делает, совместно использует их пароль со всеми сайтами-участниками? Я имею в виду, как еще OpenID мог 'входить в систему для них' на всех этих сайтах? Если пользователь предполагает, что через OpenID, их пароль становится известным всем участвующим сайтам OpenID, они могут предположить, что довольно разумно выделить этот пароль на любой из тех сайтов. Это - кошмар фишинга. Предположите помещать эту фразу на свой сайт: "Введите Ваш (некоторый поставщик OpenID) имя пользователя [] и пароль []". Вы уже - люди фишинга.

    Мы не должны забывать также, что пользователь был бы право в их подозрениях в одном отношении даже если по немного отличающейся причине: если кто-то получает доступ к их поставщику OpenID, они получают доступ к своим идентификационным данным на всех сайтах, где они использовали те идентификационные данные, которые являются той же оборотной стороной к использованию того же пароля на нескольких сайтах.

  • Это отклоняется слишком много от того, что пользователи понимают

    , Наличие нескольких имен пользователей/паролей на различных сайтах не является трудным для пользователей понять. Пользователи понимают понятие имена пользователей и пароли хорошо, потому что они привыкли к ним и точке безопасности (то, что пароль является секретом), действительно очевидно для них. Действительно ясно, как работает пароль. При наличии нескольких, комбинации имени пользователя и пароля больше не делают это сбивающим с толку или сложным - это - просто то же самое, но больше чем один из них. В то время как запоминание нескольких паролей может быть трудным, пользователи, по крайней мере, знают , как , чтобы сделать это, и как это работает.

    OpenID пытается решить проблему запоминания нескольких паролей, но в процессе он создает совершенно новую парадигму, та, которая абсолютно непрозрачна пользователям. В отличие от пароля, безопасность которого очевидна (это просто должно быть секретным), вся безопасность OpenID продолжается негласно, с общающимися друг с другом сайтами, ключи и хеши, и т.д. Пользователь больше полностью понимает, как их конфиденциальность защищается или что должно держаться в секрете от того, кого, потому что они не понимают, как система работает. Так, в попытке решить проблему запоминания нескольких паролей, OpenID создал мистическую систему ключевых обменов, которая нарушает целое понимание пользователя того, как аутентификация работает и почему это безопасно.

71
ответ дан thomasrutter 7 November 2019 в 15:07
поделиться

Насколько я могу судить, похоже, что поставщик OpenID не обязан выдавать адрес электронной почты владельца учетной записи, хотя некоторые это делают.

. Если вашей службе требуется адрес электронной почты для связи с пользователями (например, для рассылки информационного бюллетеня - что предпочитают многие люди, никогда не слышавшие о RSS), вам, возможно, придется захватить OpenID И подтвердить адрес электронной почты. .

Система, в которой требуются только адрес электронной почты и пароль и которая использует сообщение электронной почты активации, будет менее трудоемкой для пользователей.

0
ответ дан 24 November 2019 в 18:40
поделиться
  1. Ужасный интерфейс.

    a. Регистрация в OpenID требует больше времени и смекалки. Обычная регистрация требует очень мало времени или смекалки. Регистрация происходит один раз, , но это большие предварительные вложения, поэтому сайт должен быть очень привлекательным.

    b. Вход в систему включает в себя: три части данных вместо двух; две веб-страницы вместо одной (на самом деле три в StackOverflow); и внешний веб-сайт. КАЖДЫЙ РАЗ.

    c. Для такого решения есть интерфейсы получше. Я, например, использую KeePass.

  2. Коллизии имен. Невозможно гарантировать уникальные имена.

  3. Безопасность ужасна.

    a. Он поощряет поведение, подобное фишингу. Это не так плохо, как «Проверено Visa», но близко

    б. Единственная точка отказа: если вы потеряете что-нибудь, вы потеряете все. KeePass, по крайней мере, позволяет мне физически защитить пароль (у вас должен быть жесткий диск с зашифрованной базой данных)

    c. Межсайтовое отслеживание. Компании, выпускающие кредитные карты, на самом деле имеют правила, определяющие, сколько им разрешено отслеживать. Файлы cookie можно выборочно отключить или запретить в современных браузерах. OpenID не имеет правил и регуляторов.

  4. На самом деле он не универсален. Google предоставляет OpenID ... но не использует их . То же самое и с Yahoo. И для AOL. У провайдера OpenID нет стимула разрешать использование OpenID от других провайдеров.

  5. OpenID полезен для аутентификации, но не для авторизации , особенно для чего-либо важного (например, кредитных карт).

Лично я использую один логин / пароль для каждого сайта и использую KeePass (который я могу защитить физически и с двумя уровнями паролей, которые необходимо взломать), чтобы поддерживать абстракцию «один вход для всех».

Это включает в себя StackOverflow: я создал OpenID специально для вас, ребята, и никогда не буду используйте его где-нибудь еще. Я сделал это, и я смирился с проблемой входа в систему, потому что контент привлекательный.

Но если бы для StackOverflow когда-либо был предоставлен настоящий метод аутентификации, я бы сразу перешел это в мгновение ока, только для удобства использования.

Я использую один логин / пароль для каждого сайта, и я использую KeePass (который я могу защитить физически и с двумя уровнями паролей, которые необходимо взломать), чтобы поддерживать абстракцию «один вход для всех».

Это включает StackOverflow: I создал OpenID специально для вас, ребята, , и я больше нигде не буду использовать его. Я сделал это, и я смирился с проблемой входа в систему, потому что контент привлекательный.

Но если бы для StackOverflow когда-либо был предоставлен настоящий метод аутентификации, я бы сразу перешел это в мгновение ока, только для удобства использования.

Я использую один логин / пароль для каждого сайта, и я использую KeePass (который я могу защитить физически и с двумя уровнями паролей, которые необходимо взломать), чтобы поддерживать абстракцию «один вход для всех».

Это включает StackOverflow: I создал OpenID специально для вас, ребята, , и я больше нигде не буду использовать его. Я сделал это, и я смирился с проблемой входа в систему, потому что контент привлекательный.

Но если бы для StackOverflow когда-либо был предоставлен настоящий метод аутентификации, я бы сразу перешел это в мгновение ока, только для удобства использования.

и я больше нигде не буду использовать. Я сделал это, и я смирился с проблемой входа в систему, потому что контент привлекательный.

Но если бы для StackOverflow когда-либо был предоставлен настоящий метод аутентификации, я бы сразу перешел это в мгновение ока, только для удобства использования.

и я больше нигде не буду использовать. Я сделал это, и я смирился с проблемой входа в систему, потому что контент привлекательный.

Но если бы для StackOverflow когда-либо был предоставлен настоящий метод аутентификации, я бы сразу перешел это в мгновение ока, только для удобства использования.

6
ответ дан 24 November 2019 в 18:40
поделиться

Забавно, что я прочитал эту тему, она в точности отражает мой опыт с OpenID:

StackOverflow.com был для меня поводом получить OpenID.
Многие поиски Google привели меня на этот сайт, и я никогда не мог оставить комментарии.
. Я много раз думал о регистрации, но не из-за OpenID. Мне было непонятно, что именно.
Но однажды я принял решение зарегистрироваться, и это заняло у меня некоторое время, но я не жалею об этом, потому что пользуюсь им каждый день. Это дает мне более безопасное ощущение, хотя я знаю, что это только один аккаунт, который может привести к множеству проблем, если он будет фишинговать.

Так что для меня OpenID - это действительно хороший способ быстрого входа на сайты, которых я не знаю, но также и на более крупные сайты, такие как StackOverflow.com
. Основная проблема заключается в том, что новых пользователей нужно подтолкнуть к процессу регистрации, а затем узнать, насколько велик OpenID на самом деле

.
3
ответ дан 24 November 2019 в 18:40
поделиться

Количество ваших аккаунтов OpenID (google, yahoo, twitter и т. Д.) Равно количеству аккаунтов, которые вы можете автоматически использовать для входа в веб-сайт на базе OpenID. Это, конечно, не преимущество, но может стать большим недостатком.

0
ответ дан 24 November 2019 в 18:40
поделиться
Другие вопросы по тегам:

Похожие вопросы: