Security

假 OpenID 提供者有危險嗎?

  • February 5, 2013

我一直在想。既然任何人都可以創建 OpenID 提供者,而且沒有中央機構批准 OpenID 提供者,那麼為什麼偽造 OpenID 提供者不會成為問題?

例如,垃圾郵件發送者可以啟動一個帶有後門的 OpenID 提供程序,以讓自己與被欺騙在其網站上註冊的任何其他使用者一樣進行身份驗證。這可能嗎?提供者的聲譽是唯一阻止這種情況的因素嗎?我們將來會看到 OpenID 提供者黑名單和 OpenID 提供者審查網站嗎?

可能我完全不了解 OpenID。請賜教:)

OpenID 不是本質上安全的協議——它沒有能力強制流氓提供者提供安全性,也沒有“審查”每個提供者以確保它們是安全的。

OpenID 是一種機制,您可以通過該機制將您的憑據儲存在受信任的提供商處,然後他們將向其他人驗證您的身份。

如果您選擇不值得信賴的提供商,他們可以查看和使用您可能使用您的憑據的所有內容。

OpenID 不是信任的替代品。

-亞當

這與擁有“假”電子郵件提供商幾乎相同,這會劫持使用者確認電子郵件等。只有聲譽才能阻止這種情況。人們在 gmail.com 或 hotmail.com 上註冊,但不要在 joesixpack.org 上註冊。

引用自:https://serverfault.com/questions/7005