18

StackOverFlow のような Web サイトを作成し、OpenID を使用することにしたとします。私や他の誰かが ID をフィッシングするのを防ぐにはどうすればよいですか? つまり、Web サイトが OpenID を使用しており、そのふりをしていないことをどのように確認できるのでしょうか? そして、これからどのように身を守りますか?

これを拡張して、あるサイトがあなたの openID 資格情報を侵害したとしましょう。そのサイトは、openID を使用して他のすべてのサイトでそれを使用できませんでしたか (グローバル パスワード ハック)? その場合、openID のセキュリティは、最も弱い Web サイト/プロバイダーと同じくらい強力ではないでしょうか?

4

6 に答える 6

8

入力するのはIDだけで、パスワードはありません。ID は公開されているため、「フィッシング」はセキュリティ ホールではありません。プロバイダーによっては、すべてのユーザーに同じ ID を使用することさえあります。たとえば、Google アカウントの ID は常にhttps://www.google.com/accounts/o8/idです。詳細な説明については、ウィキペディアの記事を参照してください。

于 2008-11-25T20:13:26.483 に答える
7

OpenIDの仕組みについてほとんど知らないユーザーのために、OpenIDの対象となるWebサイトのように見えるいくつかのなりすましページを作成できます(たとえば、OpenIDを処理する無料の電子メールプロバイダーなど)。ユーザー名とパスワードを入力する前に、使用しているドメインを確認するのを忘れた場合、evildomainにはOpenIDのユーザー名とパスワードが設定されます。

サーバー側では、ID検証を外部サイトに依存しています。したがって、プロバイダーXYZのOpenID認証フォームに穴があり、パスワード「swordfish」を任意のアカウントで機能させることが判明した場合、OpenIDを受け入れる場所ならどこでもそのプロバイダーのユーザーになりすますことができます。

allesklarは、これを入力しているときに、私の最後のポイントにぴったりの良い点を示しました。ローカルユーザーとリモートユーザーを混在させる場合、突然、1つではなく2つの禁止リストが必要になります。アカウントのバッチを作成するために人々によって設定された「悪い」OpenIDプロバイダーの2番目の禁止リスト...またはそれらに与えられたアカウント名を自動的に承認するもの。

于 2008-11-25T20:53:00.663 に答える
6

誰かがあなたのサイトにオープン ID を入力すると、ユーザーの OpenID が存在するサイト (およびそのサイトのみ) に、このユーザーが大丈夫かどうかを尋ねて、ユーザーを認証します。たとえば、AOL は Yahoo OpenID を検証できません。

ユーザーがそのサイトでまだ認証されていない場合、認証は失敗し、そのサイトのログイン ページにリダイレクトする必要があります。実際の認証はまだ発生する必要がありますが、そのユーザーの OpenID プロバイダーで常に発生します。使い慣れたログイン ページのみが表示されるため、ユーザーは保護されます。悪意のあるサイトは、OpenID 資格情報を吸い上げるのに苦労します。ユーザーがこれらのサイトに直接パスワードを提供することはないからです。

ユーザーがプロバイダーで認証されると (または最初から認証されている場合)、プロバイダーはこれを Web サイトに報告します。OpenID の変更点は、サイトが特定の他のサイトを信頼する必要があることです。つまり、ユーザーのステータスを正確に報告します。

誰かが「悪意のある」オープン ID プロバイダーを設定し、その方法で新しい ID をすくい取ろうとする可能性がありますが、それはユーザーとプロバイダーの間の問題です。この認証はすべて評判に関するものであるため、そのようなプロバイダーは長くビジネスを続けられないという考えがあります。少なくとも、サイトはそれらのプロバイダーをブラックリストに載せることができます。悪意のあるプロバイダーは、他のプロバイダーに登録されているオープン ID を偽装することはできません。

悪意のあるプロバイダーのもう 1 つの可能性は、認証のために渡された ID を常に確認する (または管理者がユーザーのバックドアをセットアップできるようにする) OpenID サービスをセットアップすることです。ただし、これはそのプロバイダーに登録したユーザーにのみ影響します。繰り返しになりますが、サイトはこれらのプロバイダーをブラックリストに載せることができ、評判に頼っているため、ビジネスが長く続かないという考えは依然として有効です.

于 2008-11-25T20:21:50.913 に答える
2

OpenIDシステムは非常に安全であり、そのために多くの地位を獲得しています。

私が見る主な欠点は、多くのユーザーのOpenIDプロバイダーがダウンすると、これらのユーザーがサイトからロックアウトされることです。したがって、ユーザー名/パスワードのバックアップ計画を立て、緊急/大惨事の場合にパスワードを送信できるように、検証後にメールアドレスを保存する必要があります。

于 2008-11-25T20:49:53.540 に答える
1

面白い話。SOで、誰かのプロファイルを完全に変更できるエクスプロイトを見つけました。Jeffがemail+passwordを使用していた場合、私は彼のアカウントを所有できたはずですが、SOはOpenIDを使用しているため、彼のGavitarを面白いものに変更する以外に何もすることはありませんでした。

問題のバグが報告され、修正されました。私はまだハッカーバッジを待っています。:P

于 2008-11-25T20:57:43.650 に答える
1

ここで私を怖がらせる鍵は、1つのWebサイトで彼のアカウントを所有しているのではなく、openIDを使用するすべてのWebサイトです!!!

于 2008-11-25T21:00:04.113 に答える