我一直在想,既然任何人都可以创建 OpenID 提供商,而且也没有中央机构来批准 OpenID 提供商,那么为什么伪造的 OpenID 提供商不会成为问题呢?
例如,垃圾邮件发送者可以启动一个带有后门的 OpenID 提供商,让自己像被诱骗在其网站上注册的其他用户一样进行身份验证。这可能吗?提供商的声誉是唯一可以阻止这种情况发生的东西吗?我们将来会看到 OpenID 提供商黑名单和 OpenID 提供商评论网站吗?
可能我对 OpenID 的某些方面还不是很了解。请指教 :)
答案1
OpenID 并不是一个本质上安全的协议——它没有权力强迫恶意提供商提供安全保障,也不会“审查”每个提供商以确保他们的安全。
OpenID 是一种机制,通过该机制您可以将自己的凭证存储到受信任的提供商处,然后他们会向其他人验证您的身份。
如果您选择不值得信任的提供商,他们可以看到和使用您可能使用凭证进行的一切操作。
OpenID 不能取代信任。
-亚当
答案2
这与拥有“假”电子邮件提供商的情况非常相似,会劫持用户的确认电子邮件等。只有信誉才能阻止这种情况。人们确实在 gmail.com 或 hotmail.com 上注册,但不会在 joesixpack.org 上注册。
答案3
答案4
我认为“流氓”OpenID 服务器造成问题的唯一原因并不是 Web 应用程序安全问题。但你所做的是向一个网站提供你的身份。他们告诉人们你是谁,但他们也可以访问它。如果恶意的人设置了 OpenID 服务器并且人们开始使用它,那么恶意服务的所有者可以冒充任何使用其服务器的人。
问题归结为您是否信任您的 OpenID 服务器的所有者?