Безопасность OpenID, любые изменения в этом - PullRequest
Новая
       14

Безопасность OpenID, любые изменения в этом

2 голосов
/ 29 мая 2011

Это параграф о безопасности OpenID из Википедии . Есть ли какие-либо новые обновления по этому поводу или какие-либо комментарии?

Безопасность и фишинг

Некоторые наблюдатели предположили, что OpenID имеет слабые места в безопасности и может оказаться уязвимым для фишинга нападения. [26] [27] [28] Например, злоумышленник может переслать конечный пользователь поддельной личности запрос страницы авторизации провайдера этот конечный пользователь для ввода своих полномочия. По завершении этого, злоумышленник (кто в этом случае также контролировать фиктивную аутентификацию страница) может иметь доступ к учетная запись конечного пользователя с удостоверением личности провайдер, и как таковой, то используйте это OpenID конечного пользователя для входа в другие услуги.

В попытке борьбы возможно фишинг атакует некоторых поставщиков OpenID мандат, что конечный пользователь должен быть заверенный с ними до попытка аутентификации с полагающаяся сторона. [29] Это зависит от конечный пользователь, зная политику провайдер В декабре 2008 года одобренная версия OpenID Foundation 1.0 из Расширения Политики Аутентификации Провайдера (PAPE), который "позволяет доверяющим сторонам запрашивать что провайдеры OpenID используют указанные политики аутентификации при аутентификация пользователей и для OpenID Провайдеры информируют доверяющих Стороны, политика которых была на самом деле используется. "[30] Несмотря на это, этот вопрос остается значительным дополнительным вектор для фишинга "человек посередине" атаки.

Другие проблемы безопасности, идентифицированные с OpenID предполагает отсутствие конфиденциальности и отказ от доверия проблема. [31]

1 Ответ

3 голосов
/ 29 мая 2011

Эта фишинговая атака сохраняется.Если я (как рыбак) создаю страницу, я могу ссылаться на мою самодельную (скопированную) страницу входа в Google и утверждать, что она настоящая.Мне даже не нужно реализовывать OpenID, я могу просто сказать , что я делаю.

Так что да, эта атака все еще очень возможна.Решение состоит в том, чтобы обучить пользователей компьютеров: они должны проверить имя домена, убедиться, что на странице входа используется SSL и что сертификат SSL предназначен для правильного домена.

...