私は不思議に思っていました。だれでもOpenIDプロバイダーを開始でき、OpenIDプロバイダーを承認する中央機関がないため、OpenIDプロバイダーの偽造が問題にならないのはなぜですか?
たとえば、スパマーはOpenIDプロバイダーをバックドアで開始して、自分のサイトに登録するようにだまされた他のユーザーとして自分自身を認証させることができます。これは可能ですか?これを防ぐのはプロバイダーの評判だけですか?今後、OpenIDプロバイダーのブラックリストとOpenIDプロバイダーのレビューサイトを見る予定ですか?
おそらく、OpenIDについて完全に理解していないでしょう。教えてください:)
回答:
OpenIDは本質的に安全なプロトコルではありません-不正なプロバイダーに強制的にセキュリティを提供する力はなく、各プロバイダーが安全であることを確認することもありません。
OpenIDは、信頼できるプロバイダーに資格情報を保存できるメカニズムで、他のプロバイダーに確認されます。
信頼できないプロバイダーを選択すると、資格情報を使用する可能性のあるすべてのものを表示して使用できます。
OpenIDは信頼に代わるものではありません。
-アダム
stackoverflow.comには、おもしろいと思われる類似の質問がいくつかあります。
「不正な」OpenIDサーバーが問題であることを確認できる唯一の方法は、Webアプリケーションのセキュリティ問題ではありません。しかし、あなたがしていることは、1つのウェブサイトにあなたのアイデンティティを提供することです。彼らはあなたがあなたが誰であるかを人々に伝えますが、彼らはそれにアクセスすることもできます。悪意のある人がOpenIDサーバーを設定し、それを使用し始めた場合、悪意のあるサービスの所有者はサーバーを使用している人になりすますことができます。
問題は、OpenIDサーバーの所有者を信頼するかどうかです。
OpenIDの一般的な問題は、それが新しく、「良い」OpenIDプロバイダーを作るものを定義する標準(とにかくどこかで聞いたことがある)がないことです。クレジットカードデータには、クレジットカード情報を管理するためのPCI-DSS標準がありますが、IDに相当するものはありません。
確かに、これは一般に最小限の「信頼」要件を持つアプリケーションに使用される新しいテクノロジーです。しかし、ServerFaultのようなサイトでは、ブログよりも高いが銀行やオンラインブローカーよりも低い信頼レベルが必要だと思います。
前の回答に追加します。OpenIDブラックリストについてはまだ知りませんが、OpenIDホワイトリストに関するボランティアイニシアチブがあります。そのホワイトリストは(電子メール、DNS、HTTPS証明書のような)分散技術であり、単一障害点はなく、単一信頼点はありません。一部の男性のホワイトリストを信頼すると、彼はそれを偽造できます。
ユーザーのアクティビティ、投稿の数、モデレーターからの警告の数など、より多くの情報(もちろん誰にもではない)を提供するために、これらのホワイトリストを拡張する必要があるという意見があります。このユーザーのようなほぼ瞬時に広がる情報はスパマーです。これにより、スパマーは常に新しいIDを使用するようになります。ServerFaultで1000の評判があり、他の何千ものWebサイトで信頼できるユーザーになると想像してください。
OpenIdコンシューマーがOpenIdプロバイダーをオーセンティケーターにすべきだと考える人にとって、それは単なるおかしな話です。openidプロバイダーから渡された電子メールに基づいて承認されたユーザーのリストがあるとします。悪意のある人が独自のOpenIdプロバイダーサービスをセットアップし、以前に許可されたユーザーの1人の電子メールを知っています。その不正な人は、受け入れられたユーザーとして自分自身を「認証」できます。
openIdで保護しようとしている場合は、信頼できるプロバイダーのホワイトリストを用意する必要があります。そうでない場合は、プロバイダーサービスの設定方法を知っている人なら誰でも受け入れられます。