Y a-t-il un danger dans les faux fournisseurs OpenID?

Je me demandais. Étant donné que n'importe qui peut démarrer un fournisseur OpenID et qu'il n'y a pas d'autorité centrale qui approuve les fournisseurs OpenID, pourquoi les faux fournisseurs OpenID ne deviennent-ils pas un problème?

Par exemple, un spammeur pourrait démarrer un fournisseur OpenID avec une porte dérobée pour se permettre de s'authentifier comme tout autre utilisateur qui a été trompé lors de l'inscription sur son site. Est-ce possible? La réputation du fournisseur est-elle la seule chose qui empêche cela? Allons-nous voir des listes noires de fournisseurs OpenID et des sites de révision de fournisseurs OpenID à l'avenir?

Je ne comprends probablement pas complètement quelque chose à propos d'OpenID. Veuillez m'éclairer :)

OpenID n'est PAS un protocole intrinsèquement sûr - il n'a pas le pouvoir de forcer un fournisseur non autorisé à assurer la sécurité, ni de «contrôler» chaque fournisseur pour s'assurer qu'il est sécurisé.

OpenID est un mécanisme par lequel vous pouvez stocker vos informations d'identification avec un fournisseur de confiance, et ils vous vérifieront ensuite auprès des autres.

Si vous choisissez un fournisseur non fiable, il peut voir et utiliser tout ce pour quoi vous pourriez utiliser vos informations d'identification.

OpenID ne remplace pas la confiance.

-Adam

Ce serait à peu près la même chose que d'avoir un "faux" fournisseur de messagerie, qui détournerait les e-mails de confirmation des utilisateurs, etc. Seule la réputation empêche cela. Poeple s'inscrit sur gmail.com ou hotmail.com, mais ne s'inscrit pas sur joesixpack.org.

Jeff a un très joli (et long) article de blog sur ce sujet. S'il ne répond pas à vos questions, il vous éclairera certainement. Les commentaires conduisent également à des articles très illustratifs . Hautement recommandé.

Il y a des questions similaires sur stackoverflow.com qui pourraient vous intéresser.

La seule façon dont je peux voir qu'un serveur OpenID "voyou" est un problème n'est pas tant un problème de sécurité d'application Web. Ce que vous faites cependant, c'est de fournir un site Web avec votre identité. Ils disent aux gens que vous êtes qui vous êtes, mais ils y ont également accès. Si une personne malveillante configure un serveur OpenID et que des personnes commencent à l'utiliser, le propriétaire du service malveillant peut se faire passer pour quiconque utilise son serveur.

La question se résume à faire confiance aux propriétaires de votre serveur OpenID?

Mon problème avec OpenID en général est qu'il est nouveau et qu'il n'y a pas de normes (dont j'ai entendu parler n'importe où de toute façon) qui définissent ce qui fait un "bon" fournisseur OpenID. Pour les données de carte de crédit, il existe des normes PCI-DSS pour la gestion des informations de carte de crédit - mais aucun équivalent pour l'identité.

Certes, c'est une nouvelle technologie qui est généralement utilisée pour les applications avec des exigences minimales de «confiance». Mais sur des sites comme ServerFault, je pense que vous avez besoin d'un niveau de confiance supérieur à celui d'un blog, mais inférieur à celui d'une banque ou d'un courtier en ligne.

Ajout aux réponses précédentes. Je ne connais pas encore les listes noires d'OpenID, mais il existe une initiative de volontariat sur les listes blanches d'OpenID . Cette liste blanche est une technologie distribuée (tout comme le courrier électronique, DNS, les certificats HTTPS), il n'y a pas de point de défaillance unique, il n'y a pas de point de confiance unique. Vous pouvez faire confiance à la liste blanche de certains gars et il peut la simuler.

Il y a une opinion que ces listes blanches doivent être étendues pour fournir plus d'informations (pas à personne, bien sûr), comme l'activité des utilisateurs, le nombre de publications, le nombre d'avertissements des modérateurs, etc. Étant donné que OpenID est une identité globale, cela aiderait à des informations diffusées presque instantanément comme cet utilisateur sont des spammeurs. Ce qui obligerait les spammeurs à toujours utiliser un nouvel identifiant. Imaginez que la réputation de 1000 sur ServerFault fait de vous un utilisateur de confiance sur des milliers d'autres sites Web.

Pour ceux qui pensent que les consommateurs OpenId devraient laisser n'importe quel fournisseur OpenId être un authentificateur, c'est juste un discours fou. Supposons que vous ayez une liste d'utilisateurs autorisés sur la base d'un e-mail transmis par des fournisseurs openid. Une personne malhonnête crée son propre service de fournisseur OpenId et connaît l'e-mail de l'un de vos utilisateurs précédemment autorisés. Cette personne voyou pourrait alors «s'authentifier» en tant qu'utilisateur accepté.

Si vous essayez de sécuriser avec openId, vous devez avoir une liste blanche des fournisseurs de confiance, sinon vous êtes à peu près largement ouvert à toute personne qui sait comment configurer un service de fournisseur.