Pregunta ¿Existe algún peligro en los falsos proveedores de OpenID?


Me he estado preguntando. Dado que cualquiera puede iniciar un proveedor de OpenID y que no hay una autoridad central que apruebe a los proveedores de OpenID, ¿por qué los proveedores de OpenID falsos no se convierten en un problema?

Por ejemplo, un spammer podría iniciar un proveedor de OpenID con una puerta trasera para autenticarse como cualquier otro usuario que haya sido engañado para registrarse en su sitio. es posible? ¿Es la reputación del proveedor lo único que impide esto? ¿Veremos listas de proveedores de OpenID y sitios de revisión de proveedores de OpenID en el futuro?

Probablemente no entiendo completamente algo sobre OpenID. Por favor iluminame :)


27
2018-05-11 13:50


origen




Respuestas:


OpenID NO es un protocolo intrínsecamente seguro: no tiene el poder de obligar a un proveedor deshonesto a brindar seguridad, ni "examinar" a cada proveedor para garantizar que esté seguro.

OpenID es un mecanismo mediante el cual puede almacenar sus credenciales con un proveedor de confianza, y luego lo verificarán ante otros.

Si elige un proveedor que no es de confianza, pueden ver y usar todo para lo que pueda usar sus credenciales.

OpenID no es un reemplazo para la confianza.

-Adán


16
2018-05-11 17:32



¿Pero no se requiere una confianza implícita para que el sistema funcione? Si acepto las credenciales de OpenID de Google y Yahoo, y una de ellas no es de confianza, ¿no estoy ahora en una situación en la que no puedo confiar en que mis usuarios son quienes dicen que son? - duffbeer703
OpenID no pretende verificar que el usuario sea algo para el sitio web del cliente. Todo lo que hace es decir: "La persona que está iniciando sesión ahora es la misma persona que configuró la cuenta de OpenID de nombre de usuario aquí", que puede ser útil para el seguimiento centralizado de nombre de usuario / contraseña, pero no le garantiza nada sobre ese usuario. simplemente que tenían las credenciales adecuadas para que el proveedor de OpenID esté convenientemente convencido de que son ellos. - Adam Davis
Estoy usando el openid como una cadena de identificación única. ¿Existe alguna posibilidad de que un proveedor deshonesto me ofrezca la misma openid que algún usuario legítimo de otro proveedor, por ejemplo, Yahoo? - Jus12


Sería casi lo mismo que tener un proveedor de correo electrónico "falso", que secuestraría los correos electrónicos de confirmación de los usuarios, etc. Solo la reputación lo impide. Poeple se registra en gmail.com o hotmail.com, pero no se registra en joesixpack.org.


15
2018-05-11 14:33



Pero sí registran correos electrónicos desechables en mailinator.com, y estoy buscando un proveedor de openid desechable; Necesito registrarme en un sitio de mierda que requiere openId, y realmente no me importa registrarme con mi cuenta de G "real" o FB. - dan3


Jeff tiene un muy agradable (y larga) publicación de weblog sobre este tema. Si no responde a tus preguntas, seguramente te iluminará. los comentarios también llevan a muy  ilustrativo artículos. Muy recomendable.


9
2018-05-11 14:34





Hay algunas preguntas similares en stackoverflow.com que te pueda interesar.


2
2018-05-11 17:05





La única forma en que puedo ver que un servidor OpenID "no autorizado" sea un problema no es tanto un problema de seguridad de la aplicación web. Sin embargo, lo que está haciendo es proporcionar un sitio web con su identidad. Le dicen a la gente que eres quien eres, pero también tienen acceso a ella. Si una persona maliciosa configura un servidor OpenID y la gente comienza a usarlo, el propietario del servicio malicioso podría hacerse pasar por cualquier persona que use su servidor.

¿La pregunta se reduce a confiar en los propietarios de su servidor OpenID?


0
2018-05-11 15:51





Mi problema con OpenID en general es que es nuevo y no hay estándares (de los que haya oído hablar en ningún lado) que definan lo que hace a un "buen" proveedor de OpenID. Para los datos de tarjetas de crédito, existen estándares PCI-DSS para administrar la información de las tarjetas de crédito, pero no equivalentes para la identidad.

Por supuesto, es una nueva tecnología que generalmente se utiliza para aplicaciones con requisitos mínimos de "confianza". Pero en sitios como ServerFault, creo que necesita un nivel de confianza que sea mayor que el de un blog, pero menor que el de un banco o corredor en línea.


0
2017-12-03 23:58



Un marco potencial para evaluar la idoneidad de un proveedor de OpenID para sus necesidades de seguridad es el Marco de Aseguramiento de Identidad de Liberty, pero actualmente hay muy poca conciencia de esto en el mercado de OpenID. projectliberty.org/strategic_initiatives/identity_assurance - keturn


Añadiendo respuestas anteriores. Aún no sé acerca de las listas negras de OpenID, pero hay una iniciativa de voluntarios en Listas blancas de OpenID. Esa lista blanca es una tecnología distribuida (al igual que los correos electrónicos, DNS, certificados HTTPS), no hay un punto único de falla, no hay un solo punto de confianza. Puedes confiar en la lista blanca de algunos chicos y él puede fingir.

Existe la opinión de que esas listas blancas deben extenderse para proporcionar más información (no a nadie, por supuesto), como la actividad del usuario, la cantidad de publicaciones, la cantidad de advertencias de los moderadores, etc. Dado que OpenID es una identidad global, eso ayudaría a la información casi instantáneamente difundida como este usuario es un spammer. Lo que obligaría a los spammers a usar siempre una nueva identificación. Imagina que la reputación de 1000 en ServerFault te convierte en un usuario de confianza en miles de otros sitios web.


0
2018-02-05 16:39





Para aquellos que piensan que los consumidores de OpenId deben permitir que cualquier proveedor de OpenId sea un autenticador, eso es una locura. Supongamos que tiene una lista de usuarios autorizados basada en un correo electrónico enviado por proveedores de openid. Alguna persona falsa configura su propio servicio de proveedor de OpenId y conoce el correo electrónico de uno de sus usuarios previamente autorizados. Esa persona maliciosa podría entonces "autenticarse" como su usuario aceptado.

Si está tratando de asegurarse con openId, debe tener una lista blanca de proveedores en los que confíe, de lo contrario, estará bastante abierto a cualquiera que sepa cómo configurar un servicio de proveedor.


-2



Tu respuesta es incorrecta. Así no es como funciona OpenID. El proveedor de OpenID no devuelve la dirección de correo electrónico del usuario al sitio como nombre de usuario. - longneck