OpenIDログインは、Ubuntuフォーラムの侵害により侵害されていますか?


18

正直なところ、Ubuntuフォーラムへのログインに使用したものを思い出せませんが、OpenIDであったことは間違いありません。心配する必要がありますか?


4
OT近い有権者:この質問は間違いなく話題です。ここでは、Ubuntuコミュニティリソースを持つ人々を支援します(「Ubuntuが提供するサービス」)。さらに、それはmetaに属していませ。これは、Ubuntu自体に質問するためだけのものです(他のUbuntu関連サイトについてではありません)。ただし、この以前の質問の複製と見なされる場合があります。これらのいずれかをもう一方の複製として閉じた場合、それらの答えをマージすることをお勧めします。
エリアケイガン

回答の統合について:私は他の質問を見ましたが、正直に言うと、それが私の事例に当てはまるかどうかわかりませんでした。
ジョージブリンデイロ

回答:


15

OpenIDログインは常に発行者側で処理されるため(たとえば、Launchpadから取得したOpenIDを使用する場合、フォーラムはLaunchpadに接続し、認証を処理するのはLaunchpadです)、フォーラムはOpenIDパスワードを保持しません(それらは 'まったく必要ない)。

したがって、攻撃者が取得できるのはOpenIDログインだけですが、パスワードは実際には存在しないためです。

また、完全を期すため、この公式発表によると、フォーラムのみが影響を受け、他のサービスは影響を受けません。


1
保存する必要がないのは、それだけではありません。OpenIDを信頼する適切なパーティがユーザーのパスワードを決して見ることがないため、保存することさえできません。
マーティントーマ

8

http://openid.net/から

OpenIDを使用すると、パスワードはIDプロバイダーにのみ与えられ、そのプロバイダーはアクセスしたWebサイトのIDを確認します。プロバイダー以外は、パスワードを表示するWebサイトはないため、悪意のあるまたは安全でないWebサイトがIDを侵害することを心配する必要はありません。

IDプロバイダーは、たとえばGoogleであり、アクセスするWebサイトはUFです。

はい、あなたは安全でなければなりません。


3

一般的に言えば(少なくとも私の知る限り)、Open IDアカウントを使用してログインする場合、認証は純粋に外部Webサイトによって処理されます(たとえば、ここでFacebookを使用してログインする場合、認証Ask Ubuntuではなく、Facebookのみで処理されます)。もう一方のサイトは、Ubuntuフォーラム/ Ask Ubuntu /あなたが何であるかを伝える一意の識別子のみを渡し、ログインの詳細は一切渡しません。

そのため、Ubuntuフォーラムによって保存された(+ハッシュおよびソルトされた)パスワードはローカルアカウントのみになります(現在のメンテナンスページの「知っていること」セクションで説明されているとおり)

もちろん、あなたがまだそれを心配している場合、パスワードを変更しても害はありません-とにかくそれを行うことをお勧めします-しかし、あなたが使用したサービスを除いて私が知る限りOpen IDが認証されなかったこと(Google、Facebookなど)が侵害されることはあまりありません。

詳細については、OpenID Webサイトのこのページを参照してください。


1

OpenIDを実際に使用した場合:いいえ

ログインプロセスは、OpenIDプロバイダーとユーザーの間で実行されます。OpenIDを使用できるサービスには、パスワードさえ表示されません!ubuntuforumsがパスワードを保存した可能性はありません。

OpenIDリソース

次のリソースは、OpenIDの仕組みを理解するのに役立つ場合があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.