假冒的 OpenID 提供商是否存在危险？

Question 1

OpenID 并不是一个本质上安全的协议——它没有权力强迫恶意提供商提供安全保障，也不会“审查”每个提供商以确保他们的安全。

OpenID 是一种机制，通过该机制您可以将自己的凭证存储到受信任的提供商处，然后他们会向其他人验证您的身份。

如果您选择不值得信任的提供商，他们可以看到和使用您可能使用凭证进行的一切操作。

OpenID 不能取代信任。

-亚当

Answer

OpenID 并不是一个本质上安全的协议——它没有权力强迫恶意提供商提供安全保障，也不会“审查”每个提供商以确保他们的安全。

OpenID 是一种机制，通过该机制您可以将自己的凭证存储到受信任的提供商处，然后他们会向其他人验证您的身份。

如果您选择不值得信任的提供商，他们可以看到和使用您可能使用凭证进行的一切操作。

OpenID 不能取代信任。

-亚当

Question 2

这与拥有“假”电子邮件提供商的情况非常相似，会劫持用户的确认电子邮件等。只有信誉才能阻止这种情况。人们确实在 gmail.com 或 hotmail.com 上注册，但不会在 joesixpack.org 上注册。

Answer

这与拥有“假”电子邮件提供商的情况非常相似，会劫持用户的确认电子邮件等。只有信誉才能阻止这种情况。人们确实在 gmail.com 或 hotmail.com 上注册，但不会在 joesixpack.org 上注册。

Question 3

杰夫有一个很不错（和冗长的）博客文章。如果它不能回答你的问题，它肯定会启发你。评论也导致非常说明性的文章。强烈推荐。

Answer

杰夫有一个很不错（和冗长的）博客文章。如果它不能回答你的问题，它肯定会启发你。评论也导致非常说明性的文章。强烈推荐。

Question 4

我认为“流氓”OpenID 服务器造成问题的唯一原因并不是 Web 应用程序安全问题。但你所做的是向一个网站提供你的身份。他们告诉人们你是谁，但他们也可以访问它。如果恶意的人设置了 OpenID 服务器并且人们开始使用它，那么恶意服务的所有者可以冒充任何使用其服务器的人。

问题归结为您是否信任您的 OpenID 服务器的所有者？

Answer

我认为“流氓”OpenID 服务器造成问题的唯一原因并不是 Web 应用程序安全问题。但你所做的是向一个网站提供你的身份。他们告诉人们你是谁，但他们也可以访问它。如果恶意的人设置了 OpenID 服务器并且人们开始使用它，那么恶意服务的所有者可以冒充任何使用其服务器的人。

问题归结为您是否信任您的 OpenID 服务器的所有者？

相关内容