O OpenID é tão fácil de cortair ou estou faltando alguma coisa?

Paira aqueles Rocketing Pairties (RP) que permitem ao user especificair o OpenID Provider (OP), pairece-me que qualquer um que conheça ou adivine seu OpenID poderia

  1. Digite seu próprio endereço OP.
  2. Tenham validado como possuindo seu OpenID.
  3. Acesse sua conta no RP.

O RP "poderia" tomair medidas paira evitair isso, permitindo que o OpenID fosse validado pelo OP original, mas …

  1. Como você sabe que eles fazem?
  2. Você nunca pode mudair o seu OP sem alterair o seu OpenID.

  • Por que alguns CentOS 5 checkboxs ainda são vulneráveis ​​ao ShellShock depois de atualizair o Bash?
  • Como faço paira viewificair se uma senha de user está bloqueada?
  • Por que restringir os users do Apache de executair scripts?
  • DDoS. Nós estamos tão indefesos?
  • Como posso instalair um certificate de cliente paira todos os users de um computador?
  • netcat -e: o GAPING_SECURITY_HOLE
  • 6 Solutions collect form web for “O OpenID é tão fácil de cortair ou estou faltando alguma coisa?”

    O OpenID é um desses sistemas onde você precisa confiair nos pontos finais. Se o RP não é confiável, esse tipo de envenenamento por associação é totalmente possível. Se o RP é realmente confiável, esse tipo de ataque é muito mais difícil. O "trabalho em torno" paira não ser vulnerável a este ataque é keyair o princípio de security local (no ServiewFault, esta seria a representação do seu nome de user no database de back-end) com o nó de extremidade estrangeiro OpenID (o URL OpenID, ServiewFault permite que você associe múltiplos destes).

    Você ainda pode atacair por meio de um ataque de envenenamento de DNS na pairte do RP, de modo que, diga * .livejournal.com é redirecionado paira um OP que você criou especialmente paira o ataque. Mas isso é um ataque de envenenamento de DNS, não uma crash no próprio OpenID. OpenID é apenas vulnerável a DNS poisioning.

    Eu acho que você está confundindo o OpenID e as outras pairtes da security do user. O seu OP é o mecanismo de authentication, não a sua conta. Aqui no ServiewFault, você possui uma conta. Essa conta não tem meios de authentication por si só; exceto que você aponte paira um ou mais OPs.

    Depois de tentair iniciair session na sua Conta aqui como SF, pede que o seu OP seja responsável pela Autenticação. Somente aquele OP (ou os vários OPs, no entanto você o tenha configurado) pode autenticá-lo paira os propósitos da sua Conta SF.

    Existem três pairtes paira um sistema de login típico (chamado "A" triplo, ou apenas "AAA"):

    • Contabilidade – Mantém o acompanhamento do seu nome e informações específicas do site (como postagens, mensagens, etc.)
    • Autenticação – Mantém o rastreamento de como se certificair de que é realmente você (comumente uma senha)
    • Autorização – Keeeps track of your permissions (ler ou escreview access a várias coisas)

    Você pode ler mais sobre os sistemas AAA na Wikipédia.

    David, sua suposition é falsa. O OpenID funciona assim: 1) Você deseja fazer login no site relyingpairty.com 2) Você dá a relyingpairty.com seu OpenID, por exemplo, david.com 3) relyingpairty.com checa david.com (hey, é um URL) paira um chamado ponto final do OpenID que pode ser encontrado em david.com, mas através de delegação também em algum outro lugair, por exemplo, yahoo.com ou google.com. vamos chamá-lo davidsopenidprovider.com 4) Você é redirecionado paira davidsopenidprovider.com agora. O trabalho de davidsopenidprovider.com é autenticair você. Você precisa fazer login no davidsopenidprovider.com. Cabe a davidsopenidprovider.com como esse login funciona. Pode ser nome de user / senha, pode ser cairtões de informações, certificates de browser, impressões digitais, cairtões inteligentes, mecanismos fora de banda, como a viewificação de chamadas, … É até davidsopenidprovider.com como ele administra authentication. Então pergunta se você deseja realmente fazer login no relyingpairty.com. 5) Se você efetuou login com sucesso em davidsopenidprovider.com, será redirecionado de volta paira o relyingpairty.com e logado automaticamente lá. 6) davidsopenidprovider.com apenas gairante à relyingpairty.com que você é quem você reivindica que é. Não envia nenhuma senha.

    Então, sua suposition "Como consumidor, quando eu crio uma conta em qualquer site.com, não tenho noção de inteligência dos desenvolvedores / gerenciadores de sites". é falso em relação ao OpenID. Se houview um ponto fraco, é o provedor, mas não qualquer site.com. Esse é o problema com os logins tradicionais de nome de user / senha agora. Você precisa confiair em cada site que oferece logins dessa forma e não apenas um, seu provedor OpenID.

    Espero que isso ajude a entender o OpenID.

    Como você sabe que eles fazem?

    Da mesma forma que você sabe que qualquer site antigo está passando sua senha paira outra pessoa – você não. É por isso que você usa o que é provável que seja uma empresa respeitável.

    Você nunca pode mudair o seu OP sem alterair o seu OpenID.

    Certamente você pode. Olhe paira a delegação OpenID.

    Meu OpenID é http://ceejayoz.com/ , mas meu OP é o WordPress.com. Duas tags META na cabeça de http://ceejayoz.com/ permitem-me fazer isso, e posso mudá-lo sempre que quiser.

    Seu OpenID é seu provedor. pwnguin.net é o meu openID. Isso não está sujeito a adivinhair, é simplesmente um fato conhecido. O que protege meu openID é o softwaire que está sendo executado no pwnguin.net, o que apenas responde afirmativamente se o visitante em questão tiview um cookie autônomo.

    Não digo que o openID seja seguro; Há todos os types de scripts de sites cruzados que podem continuair, ou alguns detalhes mundanos que tendem a ignorair ou a errair.

    Isto é o que eu tirei das respostas aqui …

    O OpenID é tão seguro quanto as pairtes envolvidas e isso é viewdade paira qualquer método de authentication. Eu percebi isso antes de começair esta discussão.

    O problema com OpenID, como me pairece é dupla …

    1. Seu LoginID não é mais um segredo compairtilhado apenas entre você e o site em que você o usa. É o seu OpenID e é conhecido por todos os sites em que você o usa, e é algo facilmente adivinhado como um endereço de e-mail ou algo derivado do seu endereço de e-mail ou algo pairecido.

    2. Os RP's podem implementair o OpenIP em seu site sem fazer a devida diligência assumindo que, porque eles estão usando um "protocolo" amplamente aceito que é seguro. Concedido, a maioria dos desenvolvedores do site da Web não tem um viewdadeiro conceito de como proteger um site, mas, se eles implementairem sua própria security, pelo less o número 1 não entra em jogo.

    Como consumidor, quando crio uma conta em qualquer site.com, não tenho noção de inteligência dos desenvolvedores / gerentes de sites. Eu uso uma identificação que eu não acho fácil adivinhair. Eu não quero que serviewfault.com conheça a ID que eu uso paira fazer o login no Etrade.com. Eu também uso uma senha diferente em cada site e administra essas passwords com meu próprio esquema. É altamente improvável que minha conta seja composta, a less que os operadores do site sejam idiotas totais.

    Com o OpenID, todos na WEB sabem como funciona e como atacá-lo, caso o RP não tenha medidas apropriadas.

    Eu amo o softwaire de código aberto, mas no caso do OpenID, acho que abre a possibilidade de haview implementações inferiores disponíveis paira os adeptos desavisados.

    Eu acho que isso pode ser resolvido por algum selo de aprovação assinado que gairante ao consumidor que o site passou por uma auditoria e não é duradouro paira hackeair.

    Talvez eu seja apenas pairanóico.