Каковы опасности использовать OpenID для Вашего веб-сайта?

Все, что Вы вводите, является идентификатором, никаким паролем. Идентификатор общедоступен, поэтому "фишинг", это не дыра в системе безопасности. Некоторые поставщики даже используют тот же идентификатор для всех пользователей, например, идентификатор для учетной записи Google всегда https://www.google.com/accounts/o8/id. Посмотрите статья Wikipedia для более подробного объяснения.

Для пользователей, которые знают очень мало о том, как OpenID работает, Вы могли создать несколько страниц имитации, которые похожи на веб-сайты, которые их OpenID для (как, скажем, любой из поставщиков бесплатного e-mail тот дескриптор OpenID). Если они забывают проверять домен, они идут перед заполнением их имени пользователя и пароля, то evildomain теперь имеет их имя пользователя OpenID и пароль.

На стороне сервера, Вы полагаетесь на внешние сайты для проверки идентификационных данных. Так, если там оказывается дырой в XYZ's поставщика форма аутентификации OpenID, которая позволяет работе "меч-рыбы" пароля в любом случае, любой может исполнить роль пользователей от того поставщика где угодно, который принимает OpenID.

allesklar сделал правильное замечание, в то время как я вводил это, которое непосредственно переходит приятно к моей последней точке: при смешивании локальных и удаленных пользователей Вам внезапно нужны два списка запрета вместо одного; второй запрет перечисляет для "плохих" поставщиков OpenID, настроенных людьми для создания пакетов учетных записей... или, которые автоматически авторизовывают любое имя учетной записи, данное им.

Когда кто-то вставляет открыть ID на Вашем сайте, Вы аутентифицируете пользователя путем выяснения у сайта, где OpenID пользователя живет (и только что сайт), если этот пользователь хорошо. AOL не может проверить Yahoo OpenID, например.

, Если пользователь уже не аутентифицируется на том сайте, сбои аутентификации и Вы должны перенаправить к странице входа в систему того сайта. Реальная аутентификация все еще должна произойти, но это всегда происходит с поставщиком OpenID для того пользователя. Как пользователь, Вы защищены, потому что необходимо только когда-либо видеть страницу входа в систему, с которой Вы знакомы. Злонамеренному сайту будет нелегко перекачивать учетные данные OpenID, потому что пользователи никогда не дают тем сайтам свои пароли непосредственно.

, Как только пользователь аутентифицируется с их поставщиком (или если они будут с самого начала), поставщик сообщит об этом Вашему веб-сайту. Что изменения для OpenID то, что Ваш сайт теперь должен доверять определенным другим сайтам - что они точно сообщат о состоянии для своих пользователей.

Кто-то мог настроить "злонамеренного" открытого идентификационного поставщика и попытаться просмотреть от новых идентификаторов тот путь, но это между пользователем и поставщиком. Так как эта аутентификация - все о репутации, идея состоит в том, что такой поставщик долгое время не оставался бы в бизнесе. Если ничто иное, сайты могли бы поместить в черный список тех поставщиков. Злонамеренный поставщик не был бы в состоянии явиться олицетворением открытых идентификаторов, которые регистрируются в других поставщиках.

Другая возможность для злонамеренного поставщика состоит в том, чтобы настроить услуги OpenID, которые просто всегда подтверждают, что любой идентификатор передал ей для аутентификации (или позволяет администратору устанавливать черный ход, поскольку это - пользователи). Однако это только произвело бы пользователей, которые зарегистрировались в том поставщике. Снова, сайты могли поместить в черный список этих поставщиков, и поскольку они полагаются на репутацию идея, которая не осталась бы в бизнесе, долго все еще содержит.

OpenID sytem очень безопасен и получает много земли из-за него.

основная оборотная сторона, которую я вижу, - то, что, если поставщик OpenID многих Ваших пользователей гибнет, эти пользователи будут заблокированы из Вашего сайта. Следовательно Вы должны иметь план резервного копирования имени пользователя/пароля, сохранить их адрес электронной почты после проверки его так, чтобы можно было отправить им пароль в случае чрезвычайной ситуации/катастрофы.

Забавная история. Я нашел использование на Так, чтобы разрешенным меня для изменения чьего-то профиля полностью. Если Jeff'd, с помощью email+password, я, возможно, владел его учетной записью, но потому что ТАК использует OpenID, там не имел отношения, но измените его Gavitar на что-то забавное.

о рассматриваемой ошибке сообщили, зафиксировали, и я все еще ожидаю на своем значке Хакера.: P

Ключ здесь, который пугает меня, просто не принадлежит его учетная запись на одном веб-сайте, но каждом веб-сайте, который использует открытый!!!