httpのopenidは問題ではありませんか?
Openidプロバイダーがhttps(myopenid.comなど)をサポートしている場合でも、多くのopenid対応サイトのデフォルトはhttp識別子です。
これは、公開されているIDの横に脅威をもたらしますか? openid認証の2番目のステップには、IDプロバイダーによって提供された署名の検証が含まれます。しかし、大まかなIDプロバイダーは何かに署名することはできませんか?入力したopenidに対してプロバイダーが有効であることを確認するopenidプロトコルのステップがあるのですか?
編集:この質問は、IDプロバイダーではなくStack Exchangeなどのコンシューマーに関するものです。 Stack Exchangeは、Googleではhttpsのみを使用し、他のすべてのopenidプロバイダーでは暗号化されていないhttpのみを使用します。 myopenid.comはhttpsをサポートしていますが、Stack Exchangeはそれを使用していません。同じことが他の側にも当てはまります。通常、スタック交換よりもセキュリティをより深刻にする側です。 g。ソースフォージ。
一般に、OpenIDにはいくつかのセキュリティ問題がありますが、その使用にはさまざまなシナリオがあります。そのため、脅威モデルによっては、依存する必要がある場合とない場合があり、ユーザーが認証に使用する場合とそうでない場合があります。
お気づきのように、クレデンシャルの公開の可能性は問題です。パスワードで認証し、httpsを必要としないOpenIDプロバイダーを選択した場合。これは、https以外の接続でパスワードを要求するすべてのサイトに当てはまります。ただし、IDプロバイダーはhttpsを使用できるだけでなく、より安全なハードウェアトークンまたはワンタイムパスワードを介して認証することもできます。
ユーザーが慎重に設計されたユーザーインターフェイスを認証に適切に使用していない場合、フィッシングの問題は特に困難です。これは、CardSpaceのクライアントコンポーネントの開発につながった1つの原因です。
OpenID 2.0は1.0より少し優れていますが、プライバシーや信頼などの問題は残っています。代替には、SAML(たとえばShibboleth経由)およびCardSpaceが含まれます。
詳細については、次のリンクをご覧ください。
- ステファンブランド: OpenIDの問題
Stack Exchangeポリシーに固有の回答が必要な場合は、次の質問をしてください https://meta.stackexchange.com/
私の観点からのOpenIDの最大の懸念は、XSS攻撃であるシングルサインオンソリューションの場合と同じです。これは、資格情報が攻撃者によって盗まれる可能性があり、広く使用される必要があるため、その影響は非常に残酷です。
セキュリティについて心配な場合は、いつでも http://wiki.openid.net/w/page/12995230/Security にアクセスして、セキュリティ対策に関するディスカッションに参加できます。
質問については、公共のホットスポットにいる場合、MiTM攻撃が問題になる可能性があります。
IDプロバイダーが信頼できない場合は、彼のサービスを使用しないでください。私は現在myopenidを使用しており、私の認証のいくつかに対して十分に信頼しています。別のネットワークを介して誰かを認証する大まかなOpenIDプロバイダーについては、不可能ではありません。登録したサイトには完全なIDが保存されます。そのため、X.myopenidをX.blogspotに登録された誰かとして認証しようとすると、明らかに新しいアカウントが作成されます。