web-dev-qa-db-ja.com

悪意のある証明書利用者はOpenIDログインを悪用することができますか?

openIDを使用してWebサイト(攻撃者/ハッカーが作成したもの)にログオンした場合、どの程度の被害が発生するのか知りたいのですが?

彼らは私の連絡先情報、名前などを盗むことができますか(私がGmail OpenIdを使用していると仮定)

16
Pacerier

GoogleのOpenIDシステムを使用して別のウェブサイトに認証すると、認証する人がその特定のGMailアドレスを制御していることが通知されます。彼らがあなたと別のサイトとの間でインラインにならない限り、彼らはMITM攻撃を実行できません。 IDプロバイダーのふりをして、間違ったWebサイトにパスワードを入力した場合にのみ、資格情報を効果的に利用できます。

OpenIDで何が問題になるかを包括的に確認するために、Googleは私よりも優れているとしています: http://sites.google.com/site/openidreview/issues

9
Jeff Ferland

Google OpenIDを使用してサイト(つまり、OpenIDの「依存パーティ」またはRP)にサインインすると、RPはさまざまな形式の情報を要求し、提供に同意した場合はそれを取得します。グーグルは彼らが求めたことをあなたに伝えます。ですから、RPはあなたの許可を得て連絡先情報を取得できます。

しかし、OpenIDの設計は、最も重要なもの(認証資格情報(パスワードなど))を保護することを目的としています。

8
nealmcb

質問に正確に答えているわけではありませんが、OpenIDに登録することにより、中継者(eショップ、フォーラムなど)に個人データを委任していることに気づくのは良いことです。したがって、dataが収集されないように保護するかどうかは、彼ら次第です。

たとえば、最近、OpenIDを使用して登録したeショップ、私の電子メール、実際の住所、電話番号、購入履歴などが、5桁のパスワードによって「保護」され、データベースにハッシュされずに保存されていることがわかりました。

したがって、OpenIDを使用することにより、本質的に安全であるという罠に陥らないでください。 OpenIDは素晴らしいアイデアですが、あなたはまだすべての関係者を信頼する必要があります。明らかに、OpenIDプロバイダーを信頼する必要がありますが、alsoを新しいeショップ、フォーラム、またはその他のサービスに登録するたびに、OpenIDはそれらに情報を渡すため、自分で質問する必要があります。

  • 「本当にこのすべての情報が必要ですか?」

  • そして「彼らはそれを安全に保つのに十分な意思と能力を持っていますか?」

2
Alois Mahdal

OpenIDは単一障害点であることを覚えておいてください。 RSA Company のようにハッキングされた場合、すべてのアカウントが侵害される可能性があります。トレードオフは、youにSQLインジェクションなどの問題があり、OpenIDのみを使用する場合、攻撃者はこのタイプを使用してアカウントを危険にさらすことができないということです。脆弱性の。

1
rook