궁금했습니다. 누구나 OpenID 제공자를 시작할 수 있고 OpenID 제공자를 승인하는 중앙 권한이 없기 때문에 왜 가짜 OpenID 제공자가 문제가되지 않습니까?
예를 들어, 스패머는 백도어를 사용하여 OpenID 공급자를 시작하여 자신의 사이트에 등록하도록 속이는 다른 사용자로 자신을 인증 할 수 있습니다. 이것이 가능한가? 공급자의 평판이 이것을 막는 유일한 것입니까? 향후 OpenID 제공 업체 블랙리스트 및 OpenID 제공 업체 검토 사이트가 표시됩니까?
아마도 OpenID에 대해 완전히 이해하지 못했을 것입니다. 저를 계몽하십시오 :)
답변:
OpenID는 본질적으로 안전한 프로토콜이 아닙니다. 불량 공급자가 보안을 제공하도록 강요하거나 각 공급자가 보안을 유지하도록 '검색'할 힘이 없습니다.
OpenID는 신뢰할 수있는 공급자와 자격 증명을 저장 한 다음 다른 사람에게 사용자를 확인하는 메커니즘입니다.
신뢰할 수없는 공급자를 선택하면 자격 증명에 사용할 수있는 모든 것을보고 사용할 수 있습니다.
OpenID는 신뢰를 대체하지 않습니다.
-아담
stackoverflow.com에도 비슷한 질문 이 있습니다.
OpenID의 일반적인 문제점은 새로운 것이기 때문에 "좋은"OpenID 공급자를 만드는 기준을 정의하는 표준 (어쨌든 들어 본)이 없다는 것입니다. 신용 카드 데이터에는 신용 카드 정보 관리를위한 PCI-DSS 표준이 있지만 신원과 동등한 것은 아닙니다.
물론 최소한의 "신뢰"요구 사항을 가진 응용 프로그램에 사용되는 새로운 기술입니다. 그러나 ServerFault와 같은 사이트에서는 블로그보다 높지만 은행이나 온라인 브로커보다 적은 신뢰 수준이 필요하다고 생각합니다.
이전 답변에 추가. OpenID 블랙리스트에 대해 아직 모르지만 OpenID 화이트리스트 에 대한 자원 봉사 이니셔티브가 있습니다. 이 화이트리스트는 전자 메일, DNS, HTTPS 인증서와 같은 분산 기술이며 단일 장애 지점은 없으며 단일 신뢰 지점도 없습니다. 당신은 일부 사람들의 화이트리스트를 신뢰할 수 있으며 그는 그것을 가짜로 만들 수 있습니다.
이러한 화이트리스트는 사용자 활동, 게시물 수, 중재자의 경고 수 등과 같은 추가 정보를 제공하기 위해 확장되어야한다는 의견이 있습니다. OpenID는 글로벌 ID이므로 이 사용자와 같이 거의 즉시 확산되는 정보는 스팸 발송자입니다. 스패머는 항상 새 ID를 사용해야합니다. ServerFault에 대한 1000 개의 평판이 수천 개의 다른 웹 사이트에서 신뢰할 수있는 사용자라는 것을 상상해보십시오.
OpenId 소비자가 OpenId 공급자를 인증 자라고 생각하는 사람들에게는 미친 이야기 일뿐입니다. openid 공급자가 전달한 전자 메일을 기반으로 인증 된 사용자 목록이 있다고 가정합니다. 일부 불량 사용자는 자신의 OpenId 제공자 서비스를 설정하고 이전에 권한이 부여 된 사용자 중 하나의 이메일을 알고 있습니다. 그러면 그 악의적 인 사용자가 자신을 허용 된 사용자로 '인증'할 수 있습니다.
openId를 사용하여 보안을 유지하려는 경우 신뢰할 수있는 공급자 목록이 있어야합니다. 그렇지 않으면 공급자 서비스를 설정하는 방법을 알고있는 모든 사람에게 공개되어 있습니다.