Frage Besteht bei gefälschten OpenID-Anbietern eine Gefahr?


Ich habe mich gefragt. Da jeder einen OpenID-Provider starten kann, und da es keine zentrale Autorität gibt, die OpenID-Provider freigibt, warum werden gefälschte OpenID-Provider nicht zu einem Problem?

Zum Beispiel könnte ein Spammer einen OpenID-Provider mit einer Hintertür starten, um sich wie jeder andere Benutzer authentifizieren zu lassen, der dazu gebracht wurde, sich auf seiner Site zu registrieren. Ist das möglich? Ist der Ruf des Anbieters das einzige, was das verhindert? Werden wir in Zukunft OpenID-Provider-Blacklists und OpenID-Provider-Review-Sites sehen?

Wahrscheinlich verstehe ich etwas über OpenID nicht vollständig. Bitte erleuchte mich :)


27
2018-05-11 13:50


Ursprung




Antworten:


OpenID ist kein eigensicheres Protokoll - es kann nicht dazu führen, dass ein betrügerischer Anbieter die Sicherheit erzwingt, und auch nicht, dass jeder Provider sicher ist, dass sie sicher sind.

OpenID ist ein Mechanismus, mit dem Sie Ihre Anmeldeinformationen bei einem vertrauenswürdigen Anbieter speichern können und sie dann für andere verifizieren.

Wenn Sie sich für einen nicht vertrauenswürdigen Anbieter entscheiden, können sie alles sehen und verwenden, für das Sie Ihre Anmeldedaten verwenden.

OpenID ist kein Ersatz für Vertrauen.

-Adam


16
2018-05-11 17:32



Aber ist kein implizites Vertrauen erforderlich, damit das System funktioniert? Wenn ich GoogleID- und Yahoo-OpenID-Anmeldedaten akzeptiere und einer von ihnen nicht vertrauenswürdig wird, bin ich dann nicht in einer Situation, in der ich nicht darauf vertrauen kann, dass meine Nutzer die sind, von denen sie sagen, dass sie sie sind? - duffbeer703
OpenID soll nicht sicherstellen, dass der Benutzer irgendetwas auf der Client-Website ist. Alles was es tut, ist zu sagen: "Die Person, die sich gerade anmeldet, ist die gleiche Person, die hier den Benutzernamen" -username- OpenID "eingerichtet hat. Dies kann für das zentralisierte Verfolgen von Benutzernamen und Passwörtern hilfreich sein, garantiert aber nichts. lediglich, dass sie über die entsprechenden Anmeldeinformationen verfügten, sodass der OpenID-Anbieter davon überzeugt war, dass sie es waren. - Adam Davis
Ich benutze die Openid als eine eindeutige identifizierende Zeichenfolge. Gibt es irgendeine Möglichkeit, dass ein Rogue-Provider mir die gleiche OpenID wie ein legitimer Benutzer bei einem anderen Anbieter gibt, sagen Yahoo? - Jus12


Es wäre ziemlich genau so, als hätte man einen "falschen" E-Mail-Anbieter, der die Bestätigungs-E-Mails der Nutzer entführen würde. Nur die Reputation verhindert das. Poeple registrieren sich auf gmail.com oder hotmail.com, registrieren sich aber nicht auf joesixpack.org.


15
2018-05-11 14:33



Aber sie registrieren Einweg-E-Mails auf mailinator.com, und ich suche selbst nach einem Einweg-Openid-Anbieter; Ich brauche eine Registrierung auf einer beschissenen Seite, die openId benötigt, und es ist mir wirklich egal, ob ich mich unter meinem "echten" G-Account oder meiner FB registriere. - dan3


Jeff hat ein Sehr schön (und langwieriger) Weblog Post zu diesem Thema. Wenn es Ihre Fragen nicht beantwortet, wird es Sie sicherlich aufklären. Das Bemerkungen führen auch zu sehr  illustrativ Artikel. Sehr empfehlenswert.


9
2018-05-11 14:34





Es gibt einige ähnliche Fragen zu stackoverflow.com dass du vielleicht interessant findest.


2
2018-05-11 17:05





Der einzige Weg, auf dem ich sehe, dass ein "Rogue" -OpenID-Server ein Problem ist, ist nicht so sehr ein Sicherheitsproblem für Webanwendungen. Was Sie tun, ist jedoch eine Website mit Ihrer Identität zu versorgen. Sie sagen den Leuten, dass du bist, wer du bist, aber sie haben auch Zugang dazu. Wenn eine böswillige Person einen OpenID-Server einrichtet und Benutzer damit beginnen, ihn zu benutzen, könnte der Besitzer des bösartigen Dienstes jeden, der seinen Server benutzt, als jemand ausgeben.

Es stellt sich die Frage, ob Sie den Besitzern Ihres OpenID-Servers vertrauen.


0
2018-05-11 15:51





Mein Problem mit OpenID im Allgemeinen ist, dass es neu ist und es keine Standards gibt (von denen ich sowieso irgendwo gehört habe), die definieren, was einen "guten" OpenID-Anbieter ausmacht. Für Kreditkartendaten gibt es PCI-DSS-Standards für die Verwaltung von Kreditkarteninformationen - aber keine Entsprechung für die Identität.

Zugegeben, es handelt sich um eine neue Technologie, die normalerweise für Anwendungen mit minimalen Vertrauensanforderungen verwendet wird. Aber auf Websites wie ServerFault glaube ich, dass Sie ein höheres Maß an Vertrauen benötigen als das eines Blogs, aber weniger als das eines Bank- oder Online-Brokers.


0
2017-12-03 23:58



Ein möglicher Rahmen für die Bewertung der Eignung eines OpenID-Anbieters für Ihre Sicherheitsbedürfnisse ist das Liberty Identity Assurance Framework, aber im OpenID-Markt ist dies derzeit wenig bekannt. projectliberty.org/strategic_initiatives/identity_assurance - keturn


Hinzufügen zu vorherigen Antworten. Ich weiß noch nichts über OpenID Blacklists, aber es gibt eine freiwillige Initiative auf OpenID-Whitelists. Diese Whitelist ist eine verteilte Technologie (genau wie E-Mail, DNS, HTTPS-Zertifikate), es gibt keinen Single Point of Failure, es gibt keinen einzigen Vertrauensbereich. Sie können der weißen Liste einiger Kerle vertrauen und er kann es fälschen.

Es gibt die Meinung, dass diese Whitelists erweitert werden müssen, um mehr Informationen (für niemanden natürlich) bereitzustellen, wie Benutzeraktivität, Anzahl der Beiträge, Anzahl der Warnungen von Moderatoren usw. Da OpenID eine globale Identität ist, würde das helfen Fast augenblicklich verbreitete Informationen wie dieser Nutzer ist ein Spammer. Das würde Spammer zwingen, immer eine neue ID zu verwenden. Stellen Sie sich vor, 1000 Reputation auf ServerFault macht Sie zu einem vertrauenswürdigen Benutzer auf Tausenden anderer Websites.


0
2018-02-05 16:39





Für diejenigen, die denken, OpenId-Konsumenten sollten jeden OpenId-Provider zum Authenticator machen, das ist einfach irre. Nehmen wir an, Sie haben eine Liste autorisierter Benutzer basierend auf einer E-Mail, die von OpenID-Anbietern übermittelt wurde. Einige böswillige Personen richten ihren eigenen OpenId-Provider-Service ein und kennen die E-Mail-Adresse eines Ihrer zuvor autorisierten Benutzer. Dieser Schurke könnte sich dann als Ihr akzeptierter Benutzer "authentifizieren".

Wenn Sie versuchen, mit openId zu sichern, müssen Sie eine weiße Liste der Anbieter haben, denen Sie vertrauen, ansonsten sind Sie ziemlich weit offen für jeden, der weiß, wie man einen Provider-Service einrichtet.


-2



Deine Antwort ist falsch. So funktioniert OpenID nicht. Der OpenID-Anbieter gibt die E-Mail-Adresse des Benutzers nicht als Benutzername an die Site zurück. - longneck