Y a-t-il un danger dans les faux fournisseurs OpenID?

27

Je me demandais. Étant donné que n'importe qui peut démarrer un fournisseur OpenID et qu'il n'y a pas d'autorité centrale qui approuve les fournisseurs OpenID, pourquoi les faux fournisseurs OpenID ne deviennent-ils pas un problème?

Par exemple, un spammeur pourrait démarrer un fournisseur OpenID avec une porte dérobée pour se permettre de s'authentifier comme tout autre utilisateur qui a été trompé lors de l'inscription sur son site. Est-ce possible? La réputation du fournisseur est-elle la seule chose qui empêche cela? Allons-nous voir des listes noires de fournisseurs OpenID et des sites de révision de fournisseurs OpenID à l'avenir?

Je ne comprends probablement pas complètement quelque chose à propos d'OpenID. Veuillez m'éclairer :)

security openid amarillion
la source

Réponses:

16

OpenID n'est PAS un protocole intrinsèquement sûr - il n'a pas le pouvoir de forcer un fournisseur non autorisé à assurer la sécurité, ni de «contrôler» chaque fournisseur pour s'assurer qu'il est sécurisé.

OpenID est un mécanisme par lequel vous pouvez stocker vos informations d'identification avec un fournisseur de confiance, et ils vous vérifieront ensuite auprès des autres.

Si vous choisissez un fournisseur non fiable, il peut voir et utiliser tout ce pour quoi vous pourriez utiliser vos informations d'identification.

OpenID ne remplace pas la confiance.

-Adam

Adam Davis
la source
Mais une confiance implicite n'est-elle pas requise pour que le système fonctionne? Si j'accepte les identifiants Google et Yahoo OpenID, et que l'un d'eux devient douteux, alors ne suis-je pas maintenant dans une situation où je ne peux pas faire confiance à mes utilisateurs qui ils prétendent être?
duffbeer703
1
OpenID n'est pas destiné à vérifier que l'utilisateur est quelque chose sur le site Web client. Tout ce qu'il fait est de dire: «La personne qui se connecte maintenant est la même personne qui a configuré le compte -username- OpenID ici», ce qui peut être utile pour le suivi centralisé du nom d'utilisateur / mot de passe, mais ne vous garantit rien sur cet utilisateur - simplement qu'ils avaient les informations d'identification appropriées, de sorte que le fournisseur OpenID est suffisamment convaincu que c'est eux.
Adam Davis,
J'utilise l'openid comme chaîne d'identification unique. Y a-t-il une possibilité qu'un fournisseur voyou me donne le même openid qu'un utilisateur légitime sur un autre fournisseur, par exemple Yahoo?
Jus12
15

Ce serait à peu près la même chose que d'avoir un "faux" fournisseur de messagerie, qui détournerait les e-mails de confirmation des utilisateurs, etc. Seule la réputation empêche cela. Poeple s'inscrit sur gmail.com ou hotmail.com, mais ne s'inscrit pas sur joesixpack.org.

vartec
la source
Mais ils enregistrent des e-mails jetables sur mailinator.com, et je cherche moi-même un fournisseur openid jetable; J'ai besoin de m'inscrire sur un site de merde qui nécessite openId, et je m'en fiche vraiment de m'inscrire sous mon "vrai" compte G ou FB.
dan3
0

La seule façon dont je peux voir qu'un serveur OpenID "voyou" est un problème n'est pas tant un problème de sécurité d'application Web. Ce que vous faites cependant, c'est de fournir un site Web avec votre identité. Ils disent aux gens que vous êtes qui vous êtes, mais ils y ont également accès. Si une personne malveillante configure un serveur OpenID et que des personnes commencent à l'utiliser, le propriétaire du service malveillant peut se faire passer pour quiconque utilise son serveur.

La question se résume à faire confiance aux propriétaires de votre serveur OpenID?

TrueDuality
la source
0

Mon problème avec OpenID en général est qu'il est nouveau et qu'il n'y a pas de normes (dont j'ai entendu parler n'importe où de toute façon) qui définissent ce qui fait un "bon" fournisseur OpenID. Pour les données de carte de crédit, il existe des normes PCI-DSS pour la gestion des informations de carte de crédit - mais aucun équivalent pour l'identité.

Certes, c'est une nouvelle technologie qui est généralement utilisée pour les applications avec des exigences minimales de «confiance». Mais sur des sites comme ServerFault, je pense que vous avez besoin d'un niveau de confiance supérieur à celui d'un blog, mais inférieur à celui d'une banque ou d'un courtier en ligne.

duffbeer703
la source
Un cadre potentiel pour évaluer l'adéquation d'un fournisseur OpenID à vos besoins de sécurité est le Liberty Identity Assurance Framework, mais il y a actuellement très peu de prise de conscience de cela sur le marché OpenID. projectliberty.org/strategic_initiatives/identity_assurance
keturn
0

Ajout aux réponses précédentes. Je ne connais pas encore les listes noires d'OpenID, mais il existe une initiative de volontariat sur les listes blanches d'OpenID . Cette liste blanche est une technologie distribuée (tout comme le courrier électronique, DNS, les certificats HTTPS), il n'y a pas de point de défaillance unique, il n'y a pas de point de confiance unique. Vous pouvez faire confiance à la liste blanche de certains gars et il peut la simuler.

Il y a une opinion que ces listes blanches doivent être étendues pour fournir plus d'informations (pas à personne, bien sûr), comme l'activité des utilisateurs, le nombre de publications, le nombre d'avertissements des modérateurs, etc. Étant donné que OpenID est une identité globale, cela aiderait à des informations diffusées presque instantanément comme cet utilisateur sont des spammeurs. Ce qui obligerait les spammeurs à toujours utiliser un nouvel identifiant. Imaginez que la réputation de 1000 sur ServerFault fait de vous un utilisateur de confiance sur des milliers d'autres sites Web.

temoto
la source
-2

Pour ceux qui pensent que les consommateurs OpenId devraient laisser n'importe quel fournisseur OpenId être un authentificateur, c'est juste un discours fou. Supposons que vous ayez une liste d'utilisateurs autorisés sur la base d'un e-mail transmis par des fournisseurs openid. Une personne malhonnête crée son propre service de fournisseur OpenId et connaît l'e-mail de l'un de vos utilisateurs précédemment autorisés. Cette personne voyou pourrait alors «s'authentifier» en tant qu'utilisateur accepté.

Si vous essayez de sécuriser avec openId, vous devez avoir une liste blanche des fournisseurs de confiance, sinon vous êtes à peu près largement ouvert à toute personne qui sait comment configurer un service de fournisseur.

Troy Jordan
la source
3
Votre réponse est incorrecte. Ce n'est pas ainsi que fonctionne OpenID. Le fournisseur OpenID ne transmet pas l'adresse e-mail de l'utilisateur au site en tant que nom d'utilisateur.
longneck