가짜 OpenID 제공 업체에 위험이 있습니까?


27

궁금했습니다. 누구나 OpenID 제공자를 시작할 수 있고 OpenID 제공자를 승인하는 중앙 권한이 없기 때문에 왜 가짜 OpenID 제공자가 문제가되지 않습니까?

예를 들어, 스패머는 백도어를 사용하여 OpenID 공급자를 시작하여 자신의 사이트에 등록하도록 속이는 다른 사용자로 자신을 인증 할 수 있습니다. 이것이 가능한가? 공급자의 평판이 이것을 막는 유일한 것입니까? 향후 OpenID 제공 업체 블랙리스트 및 OpenID 제공 업체 검토 사이트가 표시됩니까?

아마도 OpenID에 대해 완전히 이해하지 못했을 것입니다. 저를 계몽하십시오 :)

답변:


16

OpenID는 본질적으로 안전한 프로토콜이 아닙니다. 불량 공급자가 보안을 제공하도록 강요하거나 각 공급자가 보안을 유지하도록 '검색'할 힘이 없습니다.

OpenID는 신뢰할 수있는 공급자와 자격 증명을 저장 한 다음 다른 사람에게 사용자를 확인하는 메커니즘입니다.

신뢰할 수없는 공급자를 선택하면 자격 증명에 사용할 수있는 모든 것을보고 사용할 수 있습니다.

OpenID는 신뢰를 대체하지 않습니다.

-아담


그러나 시스템이 작동하기 위해 암시적인 신뢰가 필요하지 않습니까? Google 및 Yahoo OpenID 자격 증명을 수락하고 그 중 하나를 신뢰할 수없는 경우 사용자가 자신의 말을 믿을 수없는 상황에 있지 않습니까?
duffbeer703

1
OpenID는 사용자가 클라이언트 웹 사이트에 대한 것인지 확인하기위한 것이 아닙니다. "지금 로그인하는 사람은 여기에서 -username- OpenID 계정을 설정 한 사람과 동일합니다."라는 말만으로 중앙 사용자 이름 / 암호 추적에 유용하지만 해당 사용자에 대해 아무 것도 보증하지는 않습니다. OpenID 제공 업체가 적절한 자격 증명을 가지고 있다고 확신 할 수 있습니다.
Adam Davis

openid를 고유 한 식별 문자열로 사용하고 있습니다. 야후와 같이 불량 공급자가 다른 공급자의 합법적 인 사용자와 동일한 공개 ID를 제공 할 가능성이 있습니까?
Jus12

15

"가짜"이메일 제공 업체와 거의 동일 할 것입니다. 이는 사용자 확인 이메일 등을 가로채는 것입니다. 평판만으로는이를 방지 할 수 있습니다. Poeple은 gmail.com 또는 hotmail.com에 등록하지만 joesixpack.org에는 등록하지 않습니다.


그러나 그들은 mailinator.com에 일회용 전자 메일을 등록하고 있으며, 나는 일회용 openid 공급자를 찾고 있습니다. openId가 ​​필요한 엉터리 사이트에 등록해야하며 실제로 "실제"G- 계정 또는 FB로 등록하지 않아도됩니다.
dan3

9

Jeff는 이 주제에 대해 매우 훌륭하고 긴 웹 로그 게시물을 보유하고 있습니다. 그것이 당신의 질문에 대답하지 않으면 분명히 당신을 밝힐 것입니다. 이 의견 은 또한 매우 예시적인 기사로 이어집니다. 추천.



0

내가 "불량"OpenID 서버를 문제로 볼 수있는 유일한 방법은 웹 응용 프로그램 보안 문제가 아닙니다. 당신이하고있는 일은 하나의 웹 사이트에 귀하의 신원을 제공하는 것입니다. 그들은 사람들에게 당신이 누구인지 말해 주지만 그들에게도 접근 할 수 있습니다. 악의적 인 사람이 OpenID 서버를 설정하고 사람들이 서버를 사용하기 시작하면 악의적 인 서비스의 소유자는 자신의 서버를 사용하는 사람을 가장 할 수 있습니다.

OpenID 서버의 소유자를 신뢰한다는 질문이 내려졌습니다.


0

OpenID의 일반적인 문제점은 새로운 것이기 때문에 "좋은"OpenID 공급자를 만드는 기준을 정의하는 표준 (어쨌든 들어 본)이 없다는 것입니다. 신용 카드 데이터에는 신용 카드 정보 관리를위한 PCI-DSS 표준이 있지만 신원과 동등한 것은 아닙니다.

물론 최소한의 "신뢰"요구 ​​사항을 가진 응용 프로그램에 사용되는 새로운 기술입니다. 그러나 ServerFault와 같은 사이트에서는 블로그보다 높지만 은행이나 온라인 브로커보다 적은 신뢰 수준이 필요하다고 생각합니다.


보안 요구에 맞는 OpenID 제공 업체의 적합성을 평가하기위한 하나의 잠재적 프레임 워크는 Liberty Identity Assurance Framework이지만, 현재 OpenID 마켓 플레이스에서는이를 거의 인식하지 못하고 있습니다. projectliberty.org/strategic_initiatives/identity_assurance
keturn

0

이전 답변에 추가. OpenID 블랙리스트에 대해 아직 모르지만 OpenID 화이트리스트 에 대한 자원 봉사 이니셔티브가 있습니다. 이 화이트리스트는 전자 메일, DNS, HTTPS 인증서와 같은 분산 기술이며 단일 장애 지점은 없으며 단일 신뢰 지점도 없습니다. 당신은 일부 사람들의 화이트리스트를 신뢰할 수 있으며 그는 그것을 가짜로 만들 수 있습니다.

이러한 화이트리스트는 사용자 활동, 게시물 수, 중재자의 경고 수 등과 같은 추가 정보를 제공하기 위해 확장되어야한다는 의견이 있습니다. OpenID는 글로벌 ID이므로 이 사용자와 같이 거의 즉시 확산되는 정보는 스팸 발송자입니다. 스패머는 항상 새 ID를 사용해야합니다. ServerFault에 대한 1000 개의 평판이 수천 개의 다른 웹 사이트에서 신뢰할 수있는 사용자라는 것을 상상해보십시오.


-2

OpenId 소비자가 OpenId 공급자를 인증 자라고 생각하는 사람들에게는 미친 이야기 일뿐입니다. openid 공급자가 전달한 전자 메일을 기반으로 인증 된 사용자 목록이 있다고 가정합니다. 일부 불량 사용자는 자신의 OpenId 제공자 서비스를 설정하고 이전에 권한이 부여 된 사용자 중 하나의 이메일을 알고 있습니다. 그러면 그 악의적 인 사용자가 자신을 허용 된 사용자로 '인증'할 수 있습니다.

openId를 사용하여 보안을 유지하려는 경우 신뢰할 수있는 공급자 목록이 있어야합니다. 그렇지 않으면 공급자 서비스를 설정하는 방법을 알고있는 모든 사람에게 공개되어 있습니다.


3
대답이 틀립니다. 그것은 OpenID가 작동하는 방식이 아닙니다. OpenID 공급자는 사용자의 전자 메일 주소를 사용자 이름으로 사이트에 다시 전달하지 않습니다.
longneck February
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.