web-dev-qa-db-ja.com

Ubuntuフォーラム違反によりOpenIDログインが危険にさらされていますか?

正直なところ、Ubuntuフォーラムへのログインに使用したものを思い出せませんが、OpenIDであったことは間違いありません。心配する必要がありますか?

18
georgebrindeiro

OpenIDログインは常に発行者側で処理されるため(たとえば、Launchpadから取得したOpenIDを使用する場合、フォーラムはLaunchpadに接続し、認証を処理するのはLaunchpadです)、フォーラムはOpenIDパスワードを保持しません(それらは 'まったく必要ありません)。

したがって、攻撃者が取得できるのはOpenIDログインだけですが、パスワードは実際には存在しないためです。

また、完全を期すため、 この公式発表 によれば、フォーラムのみが影響を受け、他のサービスは影響を受けません。

15
Rafał Cieślak

http://openid.net/ から

OpenIDを使用すると、パスワードはIDプロバイダーにのみ与えられ、そのプロバイダーはアクセスしたWebサイトのIDを確認します。プロバイダー以外は、パスワードを表示するWebサイトはないため、悪意のあるまたは安全でないWebサイトがIDを侵害することを心配する必要はありません。

IDプロバイダーは、たとえばGoogleであり、アクセスするWebサイトはUFです。

はい、あなたは安全でなければなりません。

8
Rinzwind

一般的に言えば(少なくとも私の知る限り)Open IDアカウントを使用してログインする場合、認証は純粋に外部Webサイトによって処理されます(たとえば、ここでログインするためにFacebookを使用する場合、認証Ask Ubuntuではなく、Facebookのみで処理されます)。もう一方のサイトは、Ubuntuフォーラム/ Ask Ubuntu /あなたが何であるかを伝える一意の識別子のみを引き渡し、ログインの詳細は一切渡しません。

そのため、Ubuntuフォーラムによって保存された(+ハッシュおよびソルトされた)パスワードは、ローカルアカウント専用です(現在のメンテナンスページの「知っていること」セクションで説明されているとおり)

もちろん、あなたがまだそれを心配している場合、パスワードを変更しても害はありません-とにかくそれを行うことをお勧めします-しかし、あなたが使用したサービスを除いて私が知る限りOpen IDが認証されなかったこと(Google、Facebookなど)が侵害されることはあまりありません。

詳細については、 OpenID Webサイトのこのページ を参照してください。

3
Jez W

本当にOpenIDを使用した場合:No

ログインプロセスは、OpenIDプロバイダーとユーザーの間で実行されます。 OpenIDを使用できるサービスには、パスワードさえ表示されません! ubuntuforumsがパスワードを保存した可能性はありません。

OpenIDリソース

次のリソースは、OpenIDの仕組みを理解するのに役立つ場合があります。

1
Martin Thoma