Czy istnieje zagrożenie dla fałszywych dostawców OpenID?

Zastanawiałem się Ponieważ każdy może założyć dostawcę OpenID, a ponieważ nie ma centralnego organu zatwierdzającego dostawców OpenID, dlaczego fałszywi dostawcy OpenID nie staną się problemem?

Na przykład, spamer może uruchomić dostawcę OpenID z backdoorem, aby pozwolić się uwierzytelnić jak każdy inny użytkownik, który został oszukany przy rejestracji na swojej stronie. czy to możliwe? Czy reputacja dostawcy jest jedyną rzeczą, która temu zapobiega? Czy w przyszłości zobaczymy czarne listy dostawców OpenID i witryny z recenzjami dostawców OpenID?

Prawdopodobnie nie rozumiem całkowicie czegoś o OpenID. Proszę, oświeć mnie :)

OpenID NIE jest protokołem iskrobezpiecznym - nie ma siły, aby zmusić nieuczciwego dostawcę do zapewnienia bezpieczeństwa, ani też nie weryfikuje każdego dostawcy, aby upewnić się, że jest bezpieczny.

OpenID to mechanizm, dzięki któremu możesz przechowywać swoje dane uwierzytelniające u zaufanego dostawcy, a następnie zweryfikują cię przed innymi.

Jeśli wybierzesz niewiarygodnego dostawcę, może on zobaczyć i wykorzystać wszystko, do czego możesz użyć swoich danych uwierzytelniających.

OpenID nie zastępuje zaufania.

-Adam

Byłoby to prawie tak samo, jak posiadanie „fałszywego” dostawcy poczty e-mail, który przechwytywałby wiadomości e-mail z potwierdzeniem użytkowników itp. Tylko reputacja temu zapobiega. Ludzie rejestrują się na gmail.com lub hotmail.com, ale nie rejestrują się na joesixpack.org.

Jeff ma bardzo ładny (i długi) post na blogu na ten temat. Jeśli nie odpowie na twoje pytania, z pewnością cię oświeci. Te komentarze również prowadzić do bardzo poglądowych artykułów. Wysoce polecany.

Istnieje kilka podobnych pytań na stackoverflow.com , które mogą Cię zainteresować.

Jedynym sposobem, w jaki widzę, że „nieuczciwy” serwer OpenID jest problemem, nie jest tak bardzo problemem bezpieczeństwa aplikacji internetowych. To, co robisz, to zapewnienie jednej stronie tożsamości. Mówią ludziom, kim jesteś, ale też mają do nich dostęp. Jeśli złośliwa osoba skonfiguruje serwer OpenID, a ludzie zaczną z niego korzystać, właściciel złośliwej usługi może podszyć się pod każdego, kto korzysta z jego serwera.

Powstaje pytanie, czy ufasz właścicielom twojego serwera OpenID?

Mój problem z OpenID ogólnie polega na tym, że jest nowy i nie ma żadnych standardów (o których zresztą słyszałem), które definiowałyby, co czyni „dobrym” dostawcą OpenID. W przypadku danych kart kredytowych istnieją standardy PCI-DSS do zarządzania informacjami o kartach kredytowych - ale nie ma odpowiednika tożsamości.

To prawda, że ​​jest to nowa technologia, która jest ogólnie stosowana w aplikacjach o minimalnych wymaganiach dotyczących „zaufania”. Ale w witrynach takich jak ServerFault uważam, że potrzebujesz poziomu zaufania wyższego niż poziom blogu, ale mniejszego niż poziom banku lub brokera internetowego.

Dodanie do poprzednich odpowiedzi. Nie wiem jeszcze o czarnych listach OpenID, ale na białych listach OpenID istnieje inicjatywa wolontariacka . Ta biała lista jest technologią rozproszoną (podobnie jak e-mail, DNS, certyfikaty HTTPS), nie ma jednego punktu awarii, nie ma jednego punktu zaufania. Możesz zaufać białej liście, a on może ją sfałszować.

Istnieje opinia, że ​​te białe listy muszą zostać rozszerzone, aby zapewnić więcej informacji (oczywiście nikomu), takich jak aktywność użytkownika, liczba postów, liczba ostrzeżeń od moderatorów itp. Ponieważ OpenID jest tożsamością globalną, to pomogłoby niemal natychmiastowe rozpowszechnianie informacji, takich jak ten użytkownik, jest spamerem. Co zmusiłoby spamerów do korzystania z nowego identyfikatora. Wyobraź sobie, że 1000 reputacji na ServerFault sprawia, że ​​jesteś równie zaufanym użytkownikiem na tysiącach innych stron internetowych.

Dla tych, którzy myślą, że konsumenci OpenId powinni pozwolić każdemu dostawcy OpenId być uwierzytelniaczem, to po prostu szalona rozmowa. Załóżmy, że masz listę autoryzowanych użytkowników na podstawie wiadomości e-mail przekazanej przez dostawców OpenID. Niektóre nieuczciwe osoby konfigurują własną usługę dostawcy OpenId i znają adres e-mail jednego z wcześniej autoryzowanych użytkowników. Ta nieuczciwa osoba mogłaby następnie „uwierzytelnić się” jako zaakceptowany użytkownik.

Jeśli próbujesz zabezpieczyć się za pomocą OpenId, musisz mieć białą listę zaufanych dostawców, w przeciwnym razie jesteś prawie otwarty dla każdego, kto wie, jak skonfigurować usługę dostawcy.