Existe perigo em provedores de OpenID falsos?

27

Eu estive pensando. Como alguém pode iniciar um provedor OpenID e como não existe uma autoridade central que aprove os provedores OpenID, por que os provedores OpenID falsos não se tornam um problema?

Por exemplo, um remetente de spam pode iniciar um provedor OpenID com um backdoor para se autenticar como qualquer outro usuário que foi enganado a se registrar em seu site. Isso é possível? A reputação do provedor é a única coisa que impede isso? Veremos as listas negras de provedores OpenID e os sites de revisão de provedores OpenID no futuro?

Provavelmente não entendo completamente nada sobre o OpenID. Por favor me esclareça :)

security openid amarillion
fonte

Respostas:

16

O OpenID NÃO é um protocolo intrinsecamente seguro - ele não tem o poder de forçar um provedor não autorizado a fornecer segurança, nem 'examina' cada provedor para garantir que ele seja seguro.

O OpenID é um mecanismo pelo qual você pode armazenar suas credenciais com um provedor confiável, e eles o verificarão para outras pessoas.

Se você escolher um provedor não confiável, ele poderá ver e usar tudo o que você pode usar para suas credenciais.

O OpenID não substitui a confiança.

-Adão

Adam Davis
fonte
Mas não é necessária uma confiança implícita para o sistema funcionar? Se eu aceitar credenciais do Google e Yahoo OpenID, e uma delas se tornar não confiável, não estou agora em uma situação em que não posso confiar que meus usuários sejam quem eles dizem que são?
Duffbeer703 11/05/09
11
O OpenID não pretende verificar se o usuário é algo para o site do cliente. Tudo o que faz é dizer: "A pessoa que está entrando agora é a mesma pessoa que configurou a conta -username- OpenID aqui", que pode ser útil para o rastreamento centralizado de nome de usuário / senha, mas não garante nada sobre esse usuário - apenas que eles possuíam as credenciais apropriadas, de modo que o provedor OpenID está adequadamente convencido de que são eles.
Adam Davis
Estou usando o openid como uma string de identificação exclusiva. Existe a possibilidade de um provedor não autorizado me dar o mesmo acesso que um usuário legítimo em outro provedor, diz o Yahoo?
Jus12
15

Seria praticamente o mesmo que ter um provedor de e-mail "falso", que seqüestraria os e-mails de confirmação dos usuários etc. Somente a reputação está impedindo isso. Por favor, registre-se em gmail.com ou hotmail.com, mas não em joesixpack.org.

vartec
fonte
Mas eles registram e-mails descartáveis ​​no mailinator.com, e estou procurando um provedor aberto e descartável; Preciso me registrar em um site ruim que exija openId e realmente não me importo em me registrar na minha conta G "real" ou no FB.
dan3
0

A única maneira de ver um servidor OpenID "não autorizado" sendo um problema não é tanto um problema de segurança de aplicativos da web. O que você está fazendo é fornecer um site com sua identidade. Eles dizem às pessoas que você é quem você é, mas também têm acesso a ele. Se uma pessoa mal-intencionada configurar um servidor OpenID e as pessoas começarem a usá-lo, o proprietário do serviço mal-intencionado poderá se passar por alguém usando seu servidor.

A questão é: você confia nos proprietários do seu servidor OpenID?

TrueDuality
fonte
0

Meu problema com o OpenID em geral é que ele é novo e não há nenhum padrão (que eu já tenha ouvido falar em qualquer lugar) que defina o que torna um "bom" provedor de OpenID. Para dados de cartão de crédito, existem padrões PCI-DSS para gerenciar informações de cartão de crédito - mas não equivalentes para identidade.

Concedido, é uma nova tecnologia geralmente usada para aplicativos com requisitos mínimos de "confiança". Mas em sites como o ServerFault, acho que você precisa de um nível de confiança maior que o de um blog, mas menor que o de um banco ou corretor on-line.

duffbeer703
fonte
Uma estrutura potencial para avaliar a adequação de um provedor OpenID às suas necessidades de segurança é a Liberty Identity Assurance Framework, mas atualmente há muito pouca consciência disso no mercado OpenID. projectliberty.org/strategic_initiatives/identity_assurance
quarta
0

Adicionando respostas anteriores. Ainda não sabemos sobre as listas negras do OpenID, mas existe uma iniciativa voluntária nas listas brancas do OpenID . Essa lista de permissões é uma tecnologia distribuída (como e-mail, DNS, HTTPS), não há um ponto único de falha, não há um ponto único de confiança. Você pode confiar na lista branca de alguns caras e ele pode fingir.

Há uma opinião de que essas listas de permissões devem ser estendidas para fornecer mais informações (não para ninguém, é claro), como atividade do usuário, número de postagens, número de avisos de moderadores etc. Como o OpenID é uma identidade global, isso ajudaria a quase instantaneamente espalhar informações como esse usuário é um spammer. O que forçaria os spammers a usar sempre um novo ID. Imagine que a reputação de 1000 no ServerFault torna você também um usuário confiável em milhares de outros sites.

temoto
fonte
-2

Para aqueles que pensam que os consumidores OpenId devem permitir que qualquer provedor OpenId seja um autenticador, isso é apenas uma loucura. Digamos que você tenha uma lista de usuários autorizados com base em um email transmitido por provedores abertos. Uma pessoa não autorizada configura seu próprio serviço de provedor OpenId e conhece o email de um de seus usuários previamente autorizados. Essa pessoa desonesta poderia então se autenticar como seu usuário aceito.

Se você está tentando proteger com o openId, deve ter uma lista branca de fornecedores nos quais confia, caso contrário, estará praticamente aberto a qualquer pessoa que saiba configurar um serviço de provedor.

Troy Jordan
fonte
3
Sua resposta está incorreta. Não é assim que o OpenID funciona. O provedor OpenID não transmite o endereço de email do usuário de volta ao site como o nome de usuário.
longneck