궁금했습니다. 누구나 OpenID 제공자를 시작할 수 있고 OpenID 제공자를 승인하는 중앙 권한이 없기 때문에 왜 가짜 OpenID 제공자가 문제가되지 않습니까?
예를 들어, 스패머는 백도어를 사용하여 OpenID 공급자를 시작하여 자신의 사이트에 등록하도록 속이는 다른 사용자로 자신을 인증 할 수 있습니다. 이것이 가능한가? 공급자의 평판이 이것을 막는 유일한 것입니까? 향후 OpenID 제공 업체 블랙리스트 및 OpenID 제공 업체 검토 사이트가 표시됩니까?
아마도 OpenID에 대해 완전히 이해하지 못했을 것입니다. 저를 계몽하십시오 🙂
답변
OpenID는 본질적으로 안전한 프로토콜이 아닙니다. 불량 공급자가 보안을 제공하도록 강요하거나 각 공급자가 보안을 유지하도록 ‘검색’할 힘이 없습니다.
OpenID는 신뢰할 수있는 공급자와 자격 증명을 저장 한 다음 다른 사람에게 사용자를 확인하는 메커니즘입니다.
신뢰할 수없는 공급자를 선택하면 자격 증명에 사용할 수있는 모든 것을보고 사용할 수 있습니다.
OpenID는 신뢰를 대체하지 않습니다.
-아담
답변
“가짜”이메일 제공 업체와 거의 동일 할 것입니다. 이는 사용자 확인 이메일 등을 가로채는 것입니다. 평판만으로는이를 방지 할 수 있습니다. Poeple은 gmail.com 또는 hotmail.com에 등록하지만 joesixpack.org에는 등록하지 않습니다.
답변
Jeff는 이 주제에 대해 매우 훌륭하고 긴 웹 로그 게시물을 보유하고 있습니다. 그것이 당신의 질문에 대답하지 않으면 분명히 당신을 밝힐 것입니다. 이 의견 은 또한 매우 예시적인 기사로 이어집니다. 추천.
답변
stackoverflow.com에도 비슷한 질문 이 있습니다.
답변
내가 “불량”OpenID 서버를 문제로 볼 수있는 유일한 방법은 웹 응용 프로그램 보안 문제가 아닙니다. 당신이하고있는 일은 하나의 웹 사이트에 귀하의 신원을 제공하는 것입니다. 그들은 사람들에게 당신이 누구인지 말해 주지만 그들에게도 접근 할 수 있습니다. 악의적 인 사람이 OpenID 서버를 설정하고 사람들이 서버를 사용하기 시작하면 악의적 인 서비스의 소유자는 자신의 서버를 사용하는 사람을 가장 할 수 있습니다.
OpenID 서버의 소유자를 신뢰한다는 질문이 내려졌습니다.
답변
OpenID의 일반적인 문제점은 새로운 것이기 때문에 “좋은”OpenID 공급자를 만드는 기준을 정의하는 표준 (어쨌든 들어 본)이 없다는 것입니다. 신용 카드 데이터에는 신용 카드 정보 관리를위한 PCI-DSS 표준이 있지만 신원과 동등한 것은 아닙니다.
물론 최소한의 “신뢰”요구 사항을 가진 응용 프로그램에 사용되는 새로운 기술입니다. 그러나 ServerFault와 같은 사이트에서는 블로그보다 높지만 은행이나 온라인 브로커보다 적은 신뢰 수준이 필요하다고 생각합니다.
답변
이전 답변에 추가. OpenID 블랙리스트에 대해 아직 모르지만 OpenID 화이트리스트 에 대한 자원 봉사 이니셔티브가 있습니다. 이 화이트리스트는 전자 메일, DNS, HTTPS 인증서와 같은 분산 기술이며 단일 장애 지점은 없으며 단일 신뢰 지점도 없습니다. 당신은 일부 사람들의 화이트리스트를 신뢰할 수 있으며 그는 그것을 가짜로 만들 수 있습니다.
이러한 화이트리스트는 사용자 활동, 게시물 수, 중재자의 경고 수 등과 같은 추가 정보를 제공하기 위해 확장되어야한다는 의견이 있습니다. OpenID는 글로벌 ID이므로 이 사용자와 같이 거의 즉시 확산되는 정보는 스팸 발송자입니다. 스패머는 항상 새 ID를 사용해야합니다. ServerFault에 대한 1000 개의 평판이 수천 개의 다른 웹 사이트에서 신뢰할 수있는 사용자라는 것을 상상해보십시오.