Czy istnieje zagrożenie dla fałszywych dostawców OpenID?

27

Zastanawiałem się Ponieważ każdy może założyć dostawcę OpenID, a ponieważ nie ma centralnego organu zatwierdzającego dostawców OpenID, dlaczego fałszywi dostawcy OpenID nie staną się problemem?

Na przykład, spamer może uruchomić dostawcę OpenID z backdoorem, aby pozwolić się uwierzytelnić jak każdy inny użytkownik, który został oszukany przy rejestracji na swojej stronie. czy to możliwe? Czy reputacja dostawcy jest jedyną rzeczą, która temu zapobiega? Czy w przyszłości zobaczymy czarne listy dostawców OpenID i witryny z recenzjami dostawców OpenID?

Prawdopodobnie nie rozumiem całkowicie czegoś o OpenID. Proszę, oświeć mnie :)

amarillion
źródło

Odpowiedzi:

16

OpenID NIE jest protokołem iskrobezpiecznym - nie ma siły, aby zmusić nieuczciwego dostawcę do zapewnienia bezpieczeństwa, ani też nie weryfikuje każdego dostawcy, aby upewnić się, że jest bezpieczny.

OpenID to mechanizm, dzięki któremu możesz przechowywać swoje dane uwierzytelniające u zaufanego dostawcy, a następnie zweryfikują cię przed innymi.

Jeśli wybierzesz niewiarygodnego dostawcę, może on zobaczyć i wykorzystać wszystko, do czego możesz użyć swoich danych uwierzytelniających.

OpenID nie zastępuje zaufania.

-Adam

Adam Davis
źródło
Ale czy nie jest wymagane ukryte zaufanie do działania systemu? Jeśli zaakceptuję dane uwierzytelniające Google i Yahoo OpenID, a jedno z nich stanie się niewiarygodne, to czy nie znajduję się teraz w sytuacji, w której nie mogę ufać, że moi użytkownicy są tymi, za których się podają?
duffbeer703
1
OpenID nie ma na celu sprawdzenia, czy użytkownik jest czymś w witrynie klienta. Mówi tylko: „Osoba, która się teraz loguje, to ta sama osoba, która skonfigurowała tutaj -username- konto OpenID”, co może być przydatne do scentralizowanego śledzenia nazwy użytkownika / hasła, ale nie gwarantuje niczego w odniesieniu do tego użytkownika - tylko, że mieli odpowiednie poświadczenia, aby dostawca OpenID był odpowiednio przekonany, że to oni.
Adam Davis,
Używam openid jako unikalnego ciągu identyfikującego. Czy jest jakaś możliwość, że nieuczciwy dostawca poda mi taki sam openid, jak jakiś legalny użytkownik innego dostawcy, powiedzmy Yahoo?
Jus12
15

Byłoby to prawie tak samo, jak posiadanie „fałszywego” dostawcy poczty e-mail, który przechwytywałby wiadomości e-mail z potwierdzeniem użytkowników itp. Tylko reputacja temu zapobiega. Ludzie rejestrują się na gmail.com lub hotmail.com, ale nie rejestrują się na joesixpack.org.

vartec
źródło
Ale rejestrują jednorazowe e-maile na mailinator.com i szukam siebie jako dostawcy openid; Potrzebuję zarejestrować się na kiepskiej stronie, która wymaga openId, i naprawdę nie dbam o rejestrację na moim „prawdziwym” koncie G lub FB.
dan3
0

Jedynym sposobem, w jaki widzę, że „nieuczciwy” serwer OpenID jest problemem, nie jest tak bardzo problemem bezpieczeństwa aplikacji internetowych. To, co robisz, to zapewnienie jednej stronie tożsamości. Mówią ludziom, kim jesteś, ale też mają do nich dostęp. Jeśli złośliwa osoba skonfiguruje serwer OpenID, a ludzie zaczną z niego korzystać, właściciel złośliwej usługi może podszyć się pod każdego, kto korzysta z jego serwera.

Powstaje pytanie, czy ufasz właścicielom twojego serwera OpenID?

TrueDuality
źródło
0

Mój problem z OpenID ogólnie polega na tym, że jest nowy i nie ma żadnych standardów (o których zresztą słyszałem), które definiowałyby, co czyni „dobrym” dostawcą OpenID. W przypadku danych kart kredytowych istnieją standardy PCI-DSS do zarządzania informacjami o kartach kredytowych - ale nie ma odpowiednika tożsamości.

To prawda, że ​​jest to nowa technologia, która jest ogólnie stosowana w aplikacjach o minimalnych wymaganiach dotyczących „zaufania”. Ale w witrynach takich jak ServerFault uważam, że potrzebujesz poziomu zaufania wyższego niż poziom blogu, ale mniejszego niż poziom banku lub brokera internetowego.

duffbeer703
źródło
Jedną z potencjalnych ram oceny przydatności dostawcy OpenID do twoich potrzeb bezpieczeństwa są ramy Liberty Identity Assurance Framework, ale obecnie wiedza na ten temat na rynku OpenID jest bardzo niewielka. projectliberty.org/strategic_init
inicjatyw
0

Dodanie do poprzednich odpowiedzi. Nie wiem jeszcze o czarnych listach OpenID, ale na białych listach OpenID istnieje inicjatywa wolontariacka . Ta biała lista jest technologią rozproszoną (podobnie jak e-mail, DNS, certyfikaty HTTPS), nie ma jednego punktu awarii, nie ma jednego punktu zaufania. Możesz zaufać białej liście, a on może ją sfałszować.

Istnieje opinia, że ​​te białe listy muszą zostać rozszerzone, aby zapewnić więcej informacji (oczywiście nikomu), takich jak aktywność użytkownika, liczba postów, liczba ostrzeżeń od moderatorów itp. Ponieważ OpenID jest tożsamością globalną, to pomogłoby niemal natychmiastowe rozpowszechnianie informacji, takich jak ten użytkownik, jest spamerem. Co zmusiłoby spamerów do korzystania z nowego identyfikatora. Wyobraź sobie, że 1000 reputacji na ServerFault sprawia, że ​​jesteś równie zaufanym użytkownikiem na tysiącach innych stron internetowych.

temoto
źródło
-2

Dla tych, którzy myślą, że konsumenci OpenId powinni pozwolić każdemu dostawcy OpenId być uwierzytelniaczem, to po prostu szalona rozmowa. Załóżmy, że masz listę autoryzowanych użytkowników na podstawie wiadomości e-mail przekazanej przez dostawców OpenID. Niektóre nieuczciwe osoby konfigurują własną usługę dostawcy OpenId i znają adres e-mail jednego z wcześniej autoryzowanych użytkowników. Ta nieuczciwa osoba mogłaby następnie „uwierzytelnić się” jako zaakceptowany użytkownik.

Jeśli próbujesz zabezpieczyć się za pomocą OpenId, musisz mieć białą listę zaufanych dostawców, w przeciwnym razie jesteś prawie otwarty dla każdego, kto wie, jak skonfigurować usługę dostawcy.

Troy Jordan
źródło
3
Twoja odpowiedź jest nieprawidłowa. To nie tak działa OpenID. Dostawca OpenID nie przekazuje adresu e-mail użytkownika z powrotem do witryny jako nazwy użytkownika.
longneck