답변:
OpenID는 엔드 포인트를 신뢰해야하는 시스템 중 하나입니다. RP를 신뢰할 수 없다면 이런 종류의 협회 중독 은 전적으로 가능합니다. RP가 실제로 신뢰할 만하다면 이런 종류의 공격은 훨씬 어렵습니다. 이 공격에 취약하지 않은 '해결 방법'은 로컬 보안 원칙 (ServerFault에서는 백엔드 데이터베이스에서 사용자 이름으로 표시됨)을 외부 OpenID 엔드 포인트 (OpenID URL, ServerFault를 사용하여 여러 항목을 연결할 수 있음)를 키우는 것입니다. 이들의).
RP 부분에 대한 DNS 중독 공격을 통해 여전히 공격 할 수 있습니다. 예를 들어 * .livejournal.com은 공격을 위해 특별히 제작 된 OP로 리디렉션됩니다. 그러나 이것은 OpenID 자체의 결함이 아니라 DNS 중독 공격입니다. OpenID는 DNS 위치에 취약합니다.
OpenID와 User Security의 다른 부분을 혼란스럽게 생각합니다. OP는 계정이 아닌 인증 메커니즘입니다. 여기에 ServerFault에 계정이 있습니다. 이 계정에는 자체 인증 수단이 없습니다. 하나 이상의 OP를 가리 킵니다.
SF로 귀하의 계정에 로그인하려고 시도하면 OP가 인증을 처리하도록 요청합니다. 하나의 OP (또는 여러 OP, 그러나 설정 한 경우) 만 SF 계정의 목적으로 귀하를 인증 할 수 있습니다.
일반적인 로그인 시스템에는 3 가지 부분이 있습니다 (트리플 "A"또는 "AAA"라고 함).
Wikipedia에서 AAA 시스템 에 대한 자세한 내용을 읽을 수 있습니다 .
데이비드, 당신의 가정은 거짓입니다. OpenID는 다음과 같이 작동합니다. 1) 사이트 relyingparty.com에 로그인하려는 경우 2) relyingparty.com에 OpenID (예 : david.com)를 제공합니다. 3) relyingparty.com에서 david.com (이봐, URL)을 확인합니다. david.com에서 찾을 수 있지만 yahoo.com 또는 google.com과 같은 다른 곳에서도 위임을 통해 OpenID 엔드 포인트라고합니다. davidsopenidprovider.com이라고하겠습니다. 4) 이제 davidsopenidprovider.com으로 리디렉션되었습니다. davidsopenidprovider.com의 일은 귀하를 인증하는 것입니다. davidsopenidprovider.com에 로그인해야합니다. 이 로그인의 작동 방식은 davidsopenidprovider.com에 달려 있습니다. 사용자 이름 / 암호 일 수 있습니다. 정보 카드, 브라우저 인증서, 지문, 스마트 카드, 전화 확인과 같은 대역 외 메커니즘 일 수 있습니다. 그것은 davidsopenid 공급자에게 달려 있습니다. com 인증 처리 방법 그런 다음 relyingparty.com에 실제로 로그인 할 것인지 묻습니다. 5) davidsopenidprovider.com에 성공적으로 로그인하면 relyingparty.com으로 다시 리디렉션되고 자동으로 로그인됩니다. 6) davidsopenidprovider.com은 relyingparty.com이 귀하가 귀하가 주장하는 사람임을 보증합니다. 비밀번호를 보내지 않습니다.
따라서 귀하의 가정은 "소비자로서 any-site.com에서 계정을 만들 때 개발자 / 사이트 관리자의 지능에 대한 개념이 없습니다." OpenID와 관련하여 거짓입니다. 약점이 있다면 공급자이지만 any-site.com은 아닙니다. 지금은 기존의 사용자 이름 / 암호 로그인 문제입니다. OpenID 제공 업체는 물론 로그인 방식을 제공하는 각 사이트를 신뢰해야합니다.
이것이 OpenID를 이해하는 데 도움이되기를 바랍니다.
그들이하는 일을 어떻게 알 수 있습니까?
이전 사이트가 비밀번호를 다른 사람에게 전달한다는 것을 알고있는 것과 같은 방법입니다. 그래서 평판이 좋은 회사를 사용하는 것입니다.
OpenID도 변경하지 않으면 OP를 변경할 수 없습니다.
물론 넌 할 수있어. OpenID 위임을 살펴보십시오.
내 OpenID는 http://ceejayoz.com/ 이지만 OP는 WordPress.com입니다. http://ceejayoz.com/META
헤드에있는 두 개의 태그를 사용하면 이 작업을 수행 할 수 있으며 언제든지 원할 때 변경할 수 있습니다.
이것이 내가 답장에서 얻은 것입니다 ...
OpenID는 관련 당사자만큼 안전하며 모든 인증 방법에 해당됩니다. 나는이 토론을 시작하기 전에 깨달았다.
나에게 보이는 OpenID의 문제는 두 가지입니다 ...
귀하의 LoginID는 더 이상 귀하와 귀하가 사용하는 사이트간에 만 공유되는 비밀이 아닙니다. OpenID이며 사용하는 모든 사이트에서 알려져 있으며 전자 메일 주소 나 전자 메일 주소 또는 이와 유사한 것에서 쉽게 추측 할 수 있습니다.
RP는 널리 인정되는 '프로토콜'을 사용하고 있기 때문에 자신의 사이트에서 OpenIP를 구현할 수 있다고 가정합니다. 물론 대부분의 웹 사이트 개발자는 사이트를 보호하는 방법에 대한 진정한 개념은 없지만 자체 보안을 구현하는 경우 적어도 1 호 문제는 발생하지 않습니다.
소비자로서 any-site.com에서 계정을 만들 때 개발자 / 사이트 관리자의 지능에 대한 개념이 없습니다. 쉽게 추측 할 수없는 ID를 사용합니다. serverfault.com이 Etrade.com에 로그인 할 때 사용하는 ID를 알고 싶지 않습니다. 또한 모든 사이트에서 다른 비밀번호를 사용하고 내 비밀번호를 사용하여 비밀번호를 관리합니다. 사이트 운영자가 총 바보가 아닌 한 내 계정이 구성되지 않을 가능성이 큽니다.
OpenID를 사용하면 웹의 모든 사람이 RP가 적절한 조치를 취하지 않은 경우 웹의 작동 방식과 공격 방법을 알고 있습니다.
저는 오픈 소스 소프트웨어를 좋아하지만 OpenID의 경우 의심의 여지가없는 채택자가 열등한 구현을 할 가능성이 있다고 생각합니다.
이 문제는 소비자가 사이트가 감사를 통과했으며 해킹 당할 수 없음을 보장하는 서명 된 승인 도장으로 해결할 수 있다고 생각합니다.
어쩌면 난 그냥 편집증일지도 몰라