Apakah ada bahaya pada penyedia OpenID palsu?

Saya bertanya-tanya. Karena siapa pun dapat memulai penyedia OpenID, dan karena tidak ada otoritas pusat yang menyetujui penyedia OpenID, mengapa penyedia OpenID palsu tidak akan menjadi masalah?

Misalnya, seorang spammer dapat memulai penyedia OpenID dengan pintu belakang untuk membiarkan dirinya mengotentikasi seperti pengguna lain yang tertipu untuk mendaftar di situsnya. Apakah ini mungkin? Apakah reputasi penyedia satu-satunya hal yang mencegah ini? Apakah kita akan melihat daftar hitam penyedia OpenID dan situs ulasan penyedia OpenID di masa mendatang?

Mungkin saya tidak mengerti sepenuhnya tentang OpenID. Tolong beri tahu saya :)

OpenID BUKAN protokol yang secara intrinsik aman - ia tidak memiliki kekuatan untuk memaksa penyedia nakal untuk memberikan keamanan, juga tidak 'memeriksakan' setiap penyedia untuk memastikan mereka aman.

OpenID adalah mekanisme di mana Anda dapat menyimpan kredensial Anda dengan penyedia tepercaya, dan mereka kemudian akan memverifikasi Anda kepada orang lain.

Jika Anda memilih penyedia yang tidak dapat dipercaya, mereka dapat melihat dan menggunakan semua yang Anda mungkin gunakan untuk kredensial Anda.

OpenID bukan pengganti kepercayaan.

-Adam

Ini hampir sama dengan memiliki penyedia email "palsu", yang akan membajak email konfirmasi pengguna, dll. Hanya reputasi yang mencegahnya. Poeple mendaftar di gmail.com atau hotmail.com, tetapi jangan mendaftar di joesixpack.org.

Jeff memiliki posting weblog yang sangat bagus (dan panjang) tentang topik ini. Jika itu tidak menjawab pertanyaan Anda, itu pasti akan mencerahkan Anda. The komentar juga menyebabkan sangat ilustrasi artikel. Sangat dianjurkan.

Ada beberapa pertanyaan serupa di stackoverflow.com yang mungkin menarik bagi Anda.

Satu-satunya cara saya dapat melihat server OpenID "nakal" menjadi masalah bukanlah masalah keamanan aplikasi web. Apa yang Anda lakukan adalah menyediakan satu situs web dengan Identitas Anda. Mereka memberi tahu orang-orang bahwa Anda adalah siapa Anda, tetapi mereka juga memiliki akses ke sana. Jika orang jahat menyiapkan server OpenID dan orang-orang mulai menggunakannya, pemilik layanan jahat dapat menyamar sebagai orang yang menggunakan server mereka.

Pertanyaannya muncul untuk Anda percayai pemilik server OpenID Anda?

Masalah saya dengan OpenID secara umum adalah itu baru dan tidak ada standar (yang saya dengar di mana saja) yang menentukan apa yang membuat penyedia OpenID "baik". Untuk data kartu kredit, ada standar PCI-DSS untuk mengelola info kartu kredit - tetapi tidak ada yang setara untuk identitas.

Memang, ini adalah teknologi baru yang umumnya digunakan untuk aplikasi dengan persyaratan "kepercayaan" minimal. Tetapi di situs-situs seperti ServerFault, saya pikir Anda memerlukan tingkat kepercayaan yang lebih besar daripada blog, tetapi kurang dari bank atau broker online.

Menambahkan ke jawaban sebelumnya. Belum tahu tentang daftar hitam OpenID, tetapi ada inisiatif sukarela tentang daftar putih OpenID . Daftar putih itu adalah teknologi terdistribusi (seperti halnya e-mail, DNS, sertifikat HTTPS), tidak ada titik kegagalan tunggal, tidak ada titik kepercayaan tunggal. Anda mungkin mempercayai daftar putih beberapa pria dan dia bisa memalsukannya.

Ada pendapat bahwa daftar putih itu harus diperluas untuk memberikan lebih banyak informasi (bukan kepada siapa pun, tentu saja), seperti aktivitas pengguna, jumlah posting, jumlah peringatan dari moderator, dll. Karena OpenID adalah identitas global, yang akan membantu untuk informasi yang menyebar hampir seketika seperti pengguna ini adalah spammer. Yang mana akan memaksa spammer untuk selalu menggunakan id baru. Bayangkan bahwa 1000 reputasi di ServerFault menjadikan Anda sebagai pengguna tepercaya di ribuan situs web lain.

Bagi mereka yang berpikir bahwa konsumen OpenId harus membiarkan penyedia OpenId menjadi autentikator, itu hanya pembicaraan gila. Katakanlah Anda memiliki daftar pengguna resmi berdasarkan email yang diteruskan dari penyedia openid. Beberapa orang jahat membuat layanan penyedia OpenId mereka sendiri dan mengetahui email dari salah satu pengguna Anda yang sebelumnya resmi. Orang jahat itu kemudian dapat 'membuktikan' dirinya sebagai pengguna yang Anda terima.

Jika Anda mencoba untuk mengamankan dengan openId, Anda harus memiliki daftar putih penyedia yang Anda percayai, jika tidak, Anda cukup terbuka untuk siapa saja yang tahu cara mengatur layanan penyedia.