许多启用 openid 的站点默认使用 http 标识符,即使 openid 提供程序支持 https(例如 myopenid.com)。
除了暴露身份之外,这是否构成威胁?openid 认证的第二步包括验证身份提供者提供的签名。但是一个粗略的身份提供者就不能签署任何东西吗?我的意思是 openid 协议中是否有一个步骤可以验证提供者对输入的 openid 是否有效?
编辑:这个问题是关于诸如 Stack Exchange 之类的消费者,而不是身份提供者。Stack Exchange 仅对 Google 使用 https,对所有其他 openid 提供程序使用未加密的 http。我知道 myopenid.com 确实支持 https,但 Stack Exchange 不使用它。其他方面也是如此,即使是那些通常比 Stack Exchange 更重视安全性的方面,例如 Source Forge。
一般来说,OpenID 有几个安全问题,但它的使用也有很多不同的场景。因此,根据威胁模型,您可能希望也可能不希望依赖它,用户可能希望也可能不希望使用它进行身份验证。
正如您所注意到的,您的凭据可能会暴露是一个问题,例如,如果您选择使用密码进行身份验证且不需要 https 的 OpenID 提供程序。这适用于通过 https 以外的连接要求输入密码的任何网站。但请注意,身份提供者不仅可以使用 https,还可以通过更安全的硬件令牌或一次性密码进行身份验证。
当用户没有正确使用精心设计的用户界面进行身份验证时,网络钓鱼问题尤其具有挑战性,这是导致 CardSpace 客户端组件开发的原因之一。
OpenID 2.0 比 1.0 好一点,但隐私和信任等问题仍然存在。替代方案包括 SAML(例如通过 Shibboleth)和 CardSpace。
以下是一些链接以获取更多信息:
如果您想要特定于 Stack Exchange 政策的答案,请在https://meta.stackexchange.com/上提问
从我的角度来看,OpenID 最关心的问题与单点登录解决方案相同,即 XSS 攻击,因为您的凭据可能被攻击者窃取,并且由于它们应该被广泛使用,其影响是相当残酷的
嘿,如果您担心安全问题,您可以随时访问http://wiki.openid.net/w/page/12995230/Security并加入有关安全措施的讨论。
至于您的问题,如果您在公共热点中,中间人攻击可能是一个问题。
如果您不信任您的身份提供者,请不要使用他的服务。我目前正在使用 myopenid 并且我对我的几个身份验证足够信任。至于粗略的 OpenID 提供商通过另一个网络对某人进行身份验证,不,这是不可能的。您注册的网站会存储您的完整 ID。因此,如果您尝试将 X.myopenid 作为在 X.blogspot 注册的人进行身份验证,您显然会创建一个新帐户。