Non è aperto con http un problema?

21

Molti siti abilitati openid hanno come impostazione predefinita gli identificativi http, anche se il provider openid supporta https (come myopenid.com).

Questo rappresenta una minaccia a parte l'identità che viene esposta? Il secondo passo dell'autenticazione openid include una verifica della firma fornita dal provider di identità. Ma un provider di identità grezzi non potrebbe firmare nulla? Voglio dire c'è un passo nel protocollo openid che verifica che il provider sia valido per l'openid inserito?

Modifica: questa domanda riguarda consumatori come Stack Exchange, non provider di identità. Stack Exchange utilizza solo https per Google e http non criptato per tutti gli altri provider di openid. So che myopenid.com supporta https, ma Stack Exchange non lo usa. Lo stesso vale per le altre parti, anche quelle che di solito prendono la sicurezza più seria di Stack Exchange, e. g. Source Forge.

    
posta Hendrik Brummermann 12.12.2010 - 00:13
fonte

3 risposte

10

In generale, ci sono diversi problemi di sicurezza con OpenID, ma anche molti scenari diversi per il suo utilizzo. Quindi, a seconda del modello di minaccia, puoi o non vuoi fare affidamento su di esso e gli utenti potrebbero o meno voler usarlo per l'autenticazione.

Come noti, la possibile esposizione delle tue credenziali è un problema, ad es. se si sceglie un provider OpenID che si autentica con le password e non richiede https. Questo vale per qualsiasi sito che richiede una password su una connessione diversa da https. Tuttavia, tieni presente che i provider di identità non solo possono utilizzare https, ma anche autenticarsi tramite token hardware più sicuri o password monouso.

I problemi con il phishing sono particolarmente difficili quando l'utente non usa correttamente un'interfaccia utente progettata con cura per l'autenticazione, che è una cosa che ha portato allo sviluppo del componente client in CardSpace.

OpenID 2.0 è leggermente migliore di 1.0, ma permangono problemi come la privacy e la fiducia. Le alternative includono SAML (ad esempio tramite Shibboleth) e CardSpace.

Ecco alcuni link per maggiori informazioni:

Se desideri una risposta specifica per le politiche di Stack Exchange, chiedi su link

    
risposta data 12.12.2010 - 21:17
fonte
2

La maggior preoccupazione per OpenID dal mio punto di vista è la stessa delle soluzioni Single Sign On che sono attacchi XSS in quanto le credenziali dell'utente possono essere rubate dall'attaccante e dal momento che dovrebbero essere ampiamente utilizzate, l'impatto è piuttosto brutale

    
risposta data 14.12.2010 - 14:57
fonte
1

Ehi, se sei preoccupato per la sicurezza puoi sempre visitare il link e partecipare alle discussioni su misure di sicurezza.

Per quanto riguarda la tua domanda, gli attacchi MiTM potrebbero essere un problema se ti trovi in un hotspot pubblico.

Se non ti fidi del tuo provider di identità non utilizzare il suo servizio. Attualmente sto usando myopenid e mi fido abbastanza per molte delle mie auth. Per quanto riguarda un provider OpenID approssimativo che auting qualcuno su un'altra rete, no non è possibile. Il sito che si registra memorizza l'ID completo. Quindi se provi X.myopenid per l'autenticazione come qualcuno registrato con X.blogspot creerai chiaramente un nuovo account.

    
risposta data 12.12.2010 - 16:21
fonte

Leggi altre domande sui tag