Какую личную информацию поставщик OpenID делает доступной для потребителя?

Question

Главный вопрос заключается в том, передается ли мой адрес электронной почты потребляющей службе.

Например, если я использую Google для входа на сайт SO, знает ли SO мой адрес gmail?

Знает ли он мое имя, которое я ввел в настройках Gmail для использования в исходящей почте?

Передает ли поставщик OpenID что-нибудь еще?

Теперь главный вопрос: я понимаю, что потребитель получает какое-то зашифрованное / хешированное значение для однозначной идентификации учетной записи, управляемой поставщиком. Что, если я захочу сбросить это значение, чтобы оно было удалено с моим Google OpenID со всех сайтов и заново зарегистрировано там с нуля?

Я считаю довольно глупым и недружественным для пользователей, что SO (и, возможно, другие сайты) не информируют своих пользователей об этих проблемах конфиденциальности. Вы входите в систему, и вы вообще не знаете, насколько приватным вы будете. Ерунда. Это, вероятно, написано в некоторых спецификациях OpenID, но прочитает ли их обычный пользователь, не говоря уже о том, чтобы понять их?

Answer 1

Попробуйте прочитать эту статью о конфиденциальности OpenID .

Answer 2

На странице запроса входа в Google есть ссылка " узнать больше ", которая отвечает на некоторые из этих вопросов в отношении текущих политик Google. Это включает в себя:

Какую информацию Google предоставляет этим веб-сайтам? Google отправляет случайный код на сторонние сайты, чтобы вы могли войти на эти сайты с помощью своей учетной записи Google. Этот код не раскрывает никакой личной информации. Обратите внимание: безопасность вашей учетной записи Google не будет нарушена при входе на другие сайты с вашей учетной записью. Какую другую информацию предоставляет Google? Когда вы входите на сторонний сайт, используя свою учетную запись Google, сайт может запросить у Google адрес электронной почты, связанный с вашей учетной записью, чтобы он мог связаться с вами. [...]

И хотя в нем говорится об адресе электронной почты, StackOverflow в настоящее время отправляет запрос sreg для адреса электронной почты, но Google не отправляет в ответ запись электронной почты. (Возможно, потому что Google поддерживает другой стандарт для обмена адресами электронной почты.)

Как поставщик выбирает раскрытие личной информации, зависит от этого поставщика. Именно поэтому SO не может сделать никакого общего заявления, чтобы «информировать своих пользователей об этих проблемах конфиденциальности», потому что все личные данные находятся в руках поставщика, и поставщик обязан управлять ими в соответствии с вашими пожеланиями.

Вы можете выбрать своего провайдера на основании этого. К счастью, большинство провайдеров довольно четко указывают, какая информация запрашивается и публикуется.

Что касается вашего вопроса об изменении хэшированного идентификатора Google ... Я не знаю ничего в их пользовательском интерфейсе, позволяющем вам это сделать. Вам нужно будет использовать другой OpenID. (Либо другой аккаунт Google, либо OpenID от другого провайдера.) Но это запрос функции для Google.

Answer 3

С OpenID вы делегируете свою аутентификацию вашему провайдеру. Они выставляют ваш адрес электронной почты на сайты, которые вы используете для аутентификации? Они раскрывают вашу информацию любому, кто спрашивает? Позволяют ли они кому-нибудь аутентифицироваться, используя ваш ID? Завтра они исчезнут, и вы не сможете пройти проверку подлинности? Это зависит от провайдера, и вы должны доверять им или переключаться.

Это не имеет отношения к вашему вопросу, но поэтому хорошей идеей является использование простой общедоступной веб-страницы, которая делегирует ваш OpenID провайдеру, которого вы можете переключать без изменения идентификаторов.

Answer 4

Если вы хотите удалить открытый идентификатор из GMail, вам нужно настроить openID делегат в своем блоге или какой-либо другой URL-адрес HTML, которым вы управляете.

Кроме того, всякий раз, когда я подписываюсь на новый сайт, используя мой OpenID, я получаю опцию - перенести мои сохраненные поля (имя, адрес электронной почты и т. Д.) На страницу регистрации сайта. С таким же успехом я мог бы ввести пробелы или выдуманные имена при регистрации.

Когда вы используете свой openID, вы по сути ассоциируете openID с вашими данными пользователя для страницы, на которую вы подписываетесь. Единственные элементы регистрации, которые он заменяет, - это Имя пользователя, Пароль.

Если SO запрашивает электронное письмо при регистрации, у вас (должны) будут те же параметры, что и при регистрации с использованием временной анонимной учетной записи.

Если я зарегистрировал имя пользователя maxwellbatgmaildotcom на веб-сайте, это не слишком запутывает мой адрес электронной почты, а также не использует OpenID, который содержит данные, которые вы не хотите летать.

Если вы хотите использовать OpenID, который не раскрывает эту информацию, получите OpenID или делегируйте его по URI, который нелегко перевести в конфиденциальную информацию.

Answer 5

Я полагаю, что спецификация OpenID не определяет, будет ли ЛЮБАЯ личная информация предоставлена. Таким образом, этот вопрос будет иметь разные ответы в зависимости от того, какого поставщика OpenID вы выберете.

Я полагаю, что большинство провайдеров не делают ничего, кроме вашего имени пользователя. Тем не менее, вы действительно хотели бы прочитать их отдельные заявления по этому вопросу.