Что может решить проблемы безопасности OpenID

Question

Проблема с OpenID, которую я имею, заключается в том, как любой может создать форму, похожую на форму Yahoo / Google, направить туда пользователей и ввести пароли.Это влияет на меня как пользователя (хотя я могу быть осторожен с этим), но влияет на поставщиков OpenID.Что можно сделать, чтобы предотвратить это?Кроме обучения пользователей, чтобы посмотреть на URL и все это.Я имею в виду технический способ предотвратить это.

Answer 1

Эта проблема называется Доверенный путь , и есть несколько хороших решений.Тем не менее, тезис Ка-Пинга Йи, связанный с этой статьей в Википедии, хорошо трактует ее.

Answer 2

Это сводится к фишинг-атаке. Это не может быть легко предотвращено с технической точки зрения, если нет взаимного соглашения между всеми участниками аутентификации. Некоторые банки теперь показывают изображение, которое выбрал пользователь. По сути, банк пытается доказать, что это именно тот банк (потому что они знают, какое изображение вы выбрали при регистрации), и пользователь предоставляет банку пароль, чтобы показать, что у него есть права доступа к учетной записи.

Answer 3

Одна идея, которая мне всегда нравилась (не только потому, что это моя идея), это то, что вы можете решить эту проблему, не позволяя пользователю иметь свой собственный пароль. Стратегия заключается в том, что для входа пользователь посещает веб-сайт, на который он хочет войти, и запрашивает токен аутентификации. Затем токен отправляется им по электронной почте, действительный в течение некоторого времени, и они просто нажимают на ссылку, чтобы войти.

Очевидные проблемы этого подхода, однако, заключаются в следующем: ваша электронная почта не может этого сделать. Таким образом, это немного меняет проблему. Но, если вы проходите аутентификацию у своего провайдера электронной почты или кого-либо еще, используя подход сертификата на стороне клиента: http://en.wikipedia.org/wiki/Mutual_authentication, и немного подумаете над некоторыми вещами (т. Е. Обеспечение передачи деталей ссылки входа в систему не перехвачен и т. д.), по крайней мере, «интересно» подумать.

Но, в общем случае, способ решения вашей проблемы: аутентификация обеих сторон транзакции; Т.е. убедитесь, что веб-сайт, с которым вы общаетесь, именно тот, который вам нужен, прежде чем отправлять на него все, что вам нужно.

Answer 4

Я не в протоколе аутентификации openID, но SSL (это путь, который делает) делает веб-сайт надежным, и браузеры должны действительно иметь подобные списки веб-сайтов, таких как Google, Yahoo, YouTube, Facebook и т. Д., Которые используют этой технологии и отказываются открывать веб-сайт без получения соответствующего сертификата.

Это решение, которое выходит за рамки вашей проблемы, но также решает его. Потому что подумайте об этом ... если StackOverflow начинает использовать SSL, почему браузер должен разрешать подключения к нему без получения надлежащего сертификата в первую очередь? Есть смысл, верно?

Одна технология, все проблемы решены.