昨日、MozillaはVerifiedEmailProtocolに基づくBrowserID認証システムを発表しました。かなり気の利いたように見えますが、安全ですか?
すぐに頭に浮かぶ問題の1つは、私のブラウザにアクセスできる人なら誰でも私としてサインインできるように見えることです。これは、サイトごとに決定できることを除いて、ブラウザにクレデンシャルを保存する際の問題でもあります。BrowserIDではオールオアナッシングですか?
他に潜在的なセキュリティ上の欠陥はありますか?
2 に答える
2
これはあなたの質問に対する直接の回答ではありませんが、「セキュリティ」スタック交換サイトにスレッドがあり、同じことについて議論しています
于 2011-12-27T18:32:57.737 に答える
1
私は最終的にDanielがBrowserId/Persona と WebIDに関する 3 番目の Q&A に貢献したものを見つけました。この回答が最も役に立ちました。(私は彼にここに投稿するよう説得しようとしましたが、彼はそうするように勧めました。)
Michael Hackett と Kirstie Hawkey によるFederated Identity の Security, Privacy and Usability Requirements は、当時まだ BrowserID と呼ばれていた WebID と Mozilla Persona の比較を提供します。
主な相違点 (表 1) は次のとおりです。
- ペルソナ キーは有効期間が短いため、パスワードで保護する必要があります。WebID キーは長期間有効ですが、パスワードで保護されたプロファイルから簡単に無効にすることができます。
- 現在の Persona 実装は標準のブラウザ ウィンドウを使用しているため、スプーフィングを見つけるのは困難です (これは、ブラウザがネイティブの Persona サポートを取得すると変更される可能性があります)。WebID はブラウザのネイティブ証明書選択 UI を使用するため、フィッシングの可能性はありません。
- 所有者の電子メール/URI に対する制御が失われると、ペルソナと WebID の両方の ID が危険にさらされる可能性があります。
- ペルソナ IdP は、ID を使用する SP を認識しません。WebID IdP は、ID を使用するすべての SP を認識します。
- Persona SP に IdP の公開鍵のキャッシュがあり、ブラウザに有効な証明書がまだある場合は、身元を確認できるはずです。WebID プロファイルは到達可能である必要があり、そうでない場合、ID は使用できません。
- Persona の UX デザインは優れていますが、WebID はその逆です。
詳細については論文を読むことをお勧めします。オンラインで無料で入手でき、デジタル ライブラリへのアクセスは必要ありません。
于 2013-03-03T21:34:52.447 に答える