Czy naruszenie loginu OpenID jest naruszone na forach Ubuntu?

18

Szczerze mówiąc, nie pamiętam, co logowałem na forach Ubuntu, ale jestem pewien, że był to OpenID. Czy powinienem się martwić?

ubuntu-forums georgebrindeiro
źródło
4
OT bliscy wyborcy: To pytanie jest zdecydowanie na temat; pomagamy tutaj osobom posiadającym zasoby społeczności Ubuntu ( „Usługi świadczone przez Ubuntu” ). Co więcej, nie należy do meta , który dotyczy tylko pytań dotyczących samego Ask Ubuntu (nie dotyczy innych stron związanych z Ubuntu). Można to jednak uznać za duplikat tego wcześniejszego pytania . Jeśli zamkniemy jedno z nich jako duplikat drugiego, polecam scalić ich odpowiedzi.
Eliah Kagan
O łączeniu odpowiedzi: widziałem drugie pytanie, ale szczerze mówiąc, nie wiedziałem, czy dotyczy to mojej sprawy.
georgebrindeiro

Odpowiedzi:

15

Ponieważ logowanie OpenID jest zawsze przetwarzane po stronie wydawcy (na przykład, jeśli używasz OpenID otrzymanego z Launchpada, Fora skontaktują się z Launchpad i to Launchpad przetwarza twoje uwierzytelnienie), Fora nie przechowują Twojego hasła OpenID (nie „ w ogóle tego potrzebuje).

Dlatego wszystkie osoby atakujące mogą uzyskać login OpenID, ale nie hasło, ponieważ tak naprawdę go nie ma.

Ponadto, dla kompletności, zgodnie z tym oficjalnym ogłoszeniem dotyczy to tylko forów, a nie innych usług.

Rafał Cieślak
źródło
1
Nie chodzi tylko o to, że nie trzeba go zapisywać - nawet nie mogą go zapisać, ponieważ dobra strona polegająca na OpenID nigdy nie widzi hasła użytkownika.
Martin Thoma,
8

Od http://openid.net/

W przypadku OpenID twoje hasło jest przekazywane tylko dostawcy tożsamości, który następnie potwierdza twoją tożsamość odwiedzanym stronom internetowym. Poza usługodawcą żadna witryna internetowa nigdy nie widzi Twojego hasła, więc nie musisz się martwić o pozbawioną skrupułów lub niepewności witrynę naruszającą twoją tożsamość.

Dostawcą tożsamości jest na przykład Google, a odwiedzana witryna to UF.

Więc tak, powinieneś być bezpieczny.

Rinzwind
źródło
3

Ogólnie rzecz biorąc (przynajmniej według mojej najlepszej wiedzy), gdy logujesz się przy użyciu konta Open ID, uwierzytelnianie jest obsługiwane wyłącznie przez zewnętrzną stronę internetową (więc na przykład, gdybym zalogował się tutaj za pomocą Facebooka, uwierzytelnienie będzie obsługiwany wyłącznie przez Facebook, a nie przez Ask Ubuntu). Druga strona przekazuje tylko unikalny identyfikator, który informuje forum Ubuntu / Ask Ubuntu / kimkolwiek jesteś i nie przekazuje żadnych danych logowania.

Tak więc hasła przechowywane (+ szyfrowane i solone) przez forum Ubuntu będą tylko dla kont lokalnych (jak wspomniano w sekcji „Co wiemy” na bieżącej stronie konserwacji)

Oczywiście, jeśli nadal się tym martwisz, zmiana hasła nie zaszkodziłaby - i dla spokoju prawdopodobnie i tak byłoby dobrym pomysłem - ale o ile wiem, chyba że skorzystałeś z usługi aby uwierzytelnić Twój Open ID został naruszony (Google, Facebook itp.) nie powinno być zbyt wiele powodów do zmartwień.

Zobacz tę stronę w witrynie OpenID, aby uzyskać dodatkowe informacje.

Jez W
źródło
1

Jeśli naprawdę używałeś OpenID: Nie .

Proces logowania jest wykonywany między twoim dostawcą OpenID a tobą. Usługi, które pozwalają korzystać z OpenID, nawet nie widzą Twojego hasła! Nie ma możliwości, w jaki sposób ubuntuforums mógł przechowywać twoje hasło.

Zasoby OpenID

Następujące zasoby mogą pomóc ci zrozumieć, jak działa OpenID.

Martin Thoma
źródło