क्या फर्जी ओपनआईडी प्रदाताओं में कोई खतरा है?

27

मैं सोच रहा था। चूंकि कोई भी OpenID प्रदाता शुरू कर सकता है, और चूंकि कोई केंद्रीय प्राधिकरण नहीं है जो OpenID प्रदाताओं को मंजूरी देता है, तो नकली OpenID प्रदाता समस्या क्यों नहीं बनेंगे?

उदाहरण के लिए, एक स्पैमर खुद को किसी अन्य उपयोगकर्ता के रूप में प्रमाणित करने के लिए एक बैकडोर के साथ ओपनआईडी प्रदाता शुरू कर सकता है जिसे उसकी साइट पर पंजीकरण करने में धोखा दिया गया था। क्या यह संभव है? क्या प्रदाता की प्रतिष्ठा केवल एक चीज है जो इसे रोकती है? क्या हम भविष्य में OpenID प्रदाता ब्लैकलिस्ट और OpenID प्रदाता समीक्षा साइट देखने जा रहे हैं?

संभवतः मुझे OpenID के बारे में कुछ समझ में नहीं आया है। कृपया मुझे ज्ञान दो :)

security  openid 
amarillion
स्रोत

जवाबों:

16

OpenID एक आंतरिक रूप से सुरक्षित प्रोटोकॉल नहीं है - इसमें सुरक्षा प्रदान करने के लिए किसी दुष्ट प्रदाता को बाध्य करने की शक्ति नहीं है, और न ही प्रत्येक प्रदाता को यह सुनिश्चित करने के लिए कि वे सुरक्षित हैं, को 'वेट' नहीं करता है।

OpenID एक ऐसा तंत्र है जिसके तहत आप अपने क्रेडेंशियल्स को एक विश्वसनीय प्रदाता के साथ स्टोर कर सकते हैं, और फिर वे आपको दूसरों को सत्यापित करेंगे।

यदि आप एक अविश्वसनीय प्रदाता चुनते हैं, तो वे उन सभी चीजों को देख और उपयोग कर सकते हैं, जिनके लिए आप अपनी साख का उपयोग कर सकते हैं।

OpenID विश्वास के लिए एक प्रतिस्थापन नहीं है।

-Adam

एडम डेविस
स्रोत
लेकिन सिस्टम के काम करने के लिए एक अंतर्निहित विश्वास की आवश्यकता नहीं है? अगर मैं Google और Yahoo ओपनआईडी क्रेडेंशियल्स को स्वीकार करता हूं, और उनमें से एक अविश्वसनीय हो जाता है, तो क्या मैं अब ऐसी स्थिति में नहीं हूं, जहां मुझे भरोसा नहीं हो सकता कि मेरे उपयोगकर्ता हैं जो वे कहते हैं कि वे हैं?
duffbeer703
1
OpenID का अर्थ यह सत्यापित करना नहीं है कि उपयोगकर्ता क्लाइंट वेबसाइट के लिए कुछ भी है। सभी यह कहते हैं, "जो व्यक्ति अब हस्ताक्षर कर रहा है, वही व्यक्ति है जो सेटअप -username- OpenID खाता यहां" है जो केंद्रीकृत उपयोगकर्ता नाम / पासवर्ड ट्रैकिंग के लिए उपयोगी हो सकता है, लेकिन आपको उस उपयोगकर्ता के बारे में कुछ भी गारंटी नहीं देता है - केवल इतना है कि उनके पास उपयुक्त क्रेडेंशियल्स थे जैसे कि ओपनआईडी प्रदाता यह पूरी तरह से आश्वस्त है कि यह उनके पास है।
एडम डेविस
मैं एक विशिष्ट पहचान स्ट्रिंग के रूप में ओपनिड का उपयोग कर रहा हूं। क्या याहू के कहे जाने पर कुछ कानूनी उपयोगकर्ता के रूप में एक दुष्ट प्रदाता के रूप में मुझे एक ही सलामी बल्लेबाज देने की कोई संभावना है?
2012 पर Jus12
15

यह बहुत ही "नकली" ईमेल प्रदाता होने के समान होगा, जो उपयोगकर्ताओं की पुष्टि ईमेल आदि को अपहृत कर देगा। केवल प्रतिष्ठा ही इसे रोक रही है। Poeple gmail.com या hotmail.com पर रजिस्टर करते हैं, लेकिन joesixpack.org पर पंजीकरण नहीं करते हैं।

vartec
स्रोत
लेकिन वे mailinator.com पर डिस्पोजेबल ई-मेल रजिस्टर करते हैं, और मैं खुद को डिस्पोजेबल ओपनिड प्रदाता के लिए देख रहा हूं; मुझे एक भद्दे साइट पर रजिस्टर करने की आवश्यकता है जिसे ओपनआईड की आवश्यकता है, और मुझे वास्तव में मेरे "वास्तविक" जी-खाते या एफबी के तहत पंजीकरण करने की परवाह नहीं है।
dan3
9

जेफ इस विषय पर एक बहुत अच्छा (और लंबा) वेबलॉग पोस्ट है। यदि यह आपके सवालों का जवाब नहीं देता है, तो यह निश्चित रूप से आपको बताएगा। टिप्पणियां भी करने के लिए नेतृत्व बहुत निदर्शी लेख। अत्यधिक सिफारिशित।

0

एक ही तरीका है कि मैं एक "दुष्ट" OpenID सर्वर एक समस्या है एक वेब अनुप्रयोग सुरक्षा समस्या इतना नहीं है देख सकते हैं। हालांकि आप जो कर रहे हैं वह आपकी पहचान के साथ एक वेबसाइट प्रदान कर रहा है। वे लोगों को बताते हैं कि आप कौन हैं, लेकिन उनकी भी पहुंच है। यदि कोई दुर्भावनापूर्ण व्यक्ति OpenID सर्वर सेट करता है और लोग उसका उपयोग करना शुरू कर देते हैं, तो दुर्भावनापूर्ण सेवा का स्वामी किसी भी व्यक्ति को उसके सर्वर का उपयोग करने से रोक सकता है।

सवाल यह है कि क्या आप अपने OpenID सर्वर के मालिकों पर भरोसा करते हैं?

TrueDuality
स्रोत
0

सामान्य रूप से OpenID के साथ मेरी समस्या यह है कि यह नया है और इसमें कोई मानक नहीं हैं (जो मैंने कहीं भी सुना है) जो परिभाषित करता है कि एक "अच्छा" OpenID प्रदाता है। क्रेडिट कार्ड डेटा के लिए, क्रेडिट कार्ड की जानकारी के प्रबंधन के लिए PCI-DSS मानक हैं - लेकिन पहचान के लिए कोई समकक्ष नहीं है।

दी, यह एक नई तकनीक है जो आम तौर पर न्यूनतम "विश्वास" आवश्यकताओं वाले अनुप्रयोगों के लिए उपयोग की जाती है। लेकिन सर्वरफॉल्ट जैसी साइटों पर, मुझे लगता है कि आपको एक विश्वास के स्तर की आवश्यकता है जो एक ब्लॉग से अधिक है, लेकिन बैंक या ऑनलाइन ब्रोकर की तुलना में कम है।

duffbeer703
स्रोत
आपकी सुरक्षा जरूरतों के लिए एक OpenID प्रदाता की उपयुक्तता का मूल्यांकन करने के लिए एक संभावित ढांचा है लिबर्टी आइडेंटिटी एश्योरेंस फ्रेमवर्क, लेकिन वर्तमान में OpenID बाज़ार में इसके बारे में बहुत कम जागरूकता है। projectliberty.org/strategic_initiatives/identity_assurance
keturn
0

पिछले उत्तरों में जोड़ना। OpenID ब्लैकलिस्ट के बारे में अभी तक पता नहीं है, लेकिन OpenID श्वेतसूची पर एक स्वयंसेवी पहल है । वह श्वेतसूची एक वितरित तकनीक है (ई-मेल, डीएनएस, एचटीटीपीएस सेर्ट्स की तरह), विफलता का एक भी बिंदु नहीं है, विश्वास का एक भी बिंदु नहीं है। आप कुछ लोगों के श्वेतसूची पर भरोसा कर सकते हैं और वह इसे नकली कर सकता है।

एक राय है कि उन श्वेतसूची को अधिक जानकारी प्रदान करने के लिए बढ़ाया जाना चाहिए (किसी के लिए भी नहीं), जैसे उपयोगकर्ता गतिविधि, पदों की संख्या, मध्यस्थों से चेतावनी की संख्या आदि। चूंकि ओपनआईडी एक वैश्विक पहचान है, जिससे मदद मिलेगी इस उपयोगकर्ता की तरह लगभग-तुरंत फैली हुई जानकारी एक स्पैमर है। जो स्‍पैमर्स को हमेशा नई आईडी का उपयोग करने के लिए मजबूर करेगा। कल्पना करें कि ServerFault पर 1000 प्रतिष्ठा आपको हजारों अन्य वेबसाइटों पर विश्वसनीय उपयोगकर्ता बनाती है।

temoto
स्रोत
-2

जो लोग सोचते हैं कि OpenId उपभोक्ता किसी भी OpenId प्रदाता को एक प्रमाणक होने देना चाहिए, वह सिर्फ पागल है। मान लें कि आपके पास अधिकृत प्रदाताओं की सूची है जो ओपनिड प्रदाताओं से पारित एक ईमेल पर आधारित है। कुछ दुष्ट व्यक्ति अपनी OpenId प्रदाता सेवा स्थापित करते हैं और अपने पहले से अधिकृत उपयोगकर्ताओं में से एक का ईमेल जानते हैं। वह दुष्ट व्यक्ति तब अपने आप को आपके स्वीकृत उपयोगकर्ता के रूप में प्रमाणित कर सकता है।

यदि आप ओपनआईडी के साथ सुरक्षित करने की कोशिश कर रहे हैं, तो आपके पास उन प्रदाताओं की एक सफेद सूची होनी चाहिए जिन पर आप भरोसा करते हैं, अन्यथा आप किसी भी व्यक्ति के लिए बहुत अधिक खुले हैं जो प्रदाता सेवा को सेटअप करना जानता है।

ट्रॉय जॉर्डन
स्रोत
3
आपका उत्तर गलत है। यही नहीं OpenID कैसे काम करता है। OpenID प्रदाता उपयोगकर्ता का ईमेल पता साइट पर वापस उपयोगकर्ता नाम के रूप में नहीं भेजता है।
longneck
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.