Se accedo ad OpenID in un sito web (creato da hacker / hacker) voglio sapere quanti danni possono farmi?
Sono in grado di rubare le mie informazioni di contatto, il nome, ecc. (presumendo che io stia usando Gmail OpenId)
Se effettui l'autenticazione su un altro sito Web con il sistema OpenID di Google, dirà loro che la persona che esegue l'autenticazione ha il controllo su quel particolare indirizzo GMail. A meno che non siano in linea tra te e un altro sito, non possono eseguire un attacco MITM. Possono sfruttare efficacemente le tue credenziali solo se fingono di essere il tuo provider di identità e hai inserito la tua password nel sito web sbagliato.
Per uno sguardo completo su cosa può andare storto con OpenID, Google lo dice meglio di me: link
Quando usi una OpenID google per accedere a un sito (che è quindi una "relying party" o RP) OpenID, l'RP richiede varie forme di informazione, e ottiene se accetta di fornirle. Google ti dice cosa hanno chiesto. Quindi sì, l'RP può ottenere informazioni di contatto, con il tuo permesso.
Ma il design di OpenID ha lo scopo di proteggere le cose più importanti: le tue credenziali di autenticazione (password o altro).
Non risponde esattamente alla domanda, ma è bene rendersi conto che registrandosi con OpenID, si sta ancora affidando il relaying party (e-shop, forum, ecc.) con i propri dati personali, e in molti casi si vorrà memorizzalo. Quindi tocca a loro se proteggono i dati dalla raccolta.
Ad esempio, di recente ho scoperto che un e-shop in cui mi sono registrato usando OpenID, la mia e-mail, l'indirizzo reale, il numero di telefono, la cronologia degli acquisti ... era "protetto" da una password di 5 cifre, memorizzata nel database .
Quindi non cadere in una trappola che usando OpenID sei in qualche modo intrinsecamente più sicuro. OpenID è un'ottima idea, ma ancora devi fidarti di tutte le parti. Ovviamente devi fidarti del provider OpenID, ma anche ogni volta che ti registri con un nuovo e-shop, forum o qualsiasi altro servizio, OpenID passerà loro le informazioni quindi devi chiedertelo:
"hanno davvero bisogno di tutte queste informazioni?"
e "sono disposti e competenti a tenerlo al sicuro?"
Ricorda che OpenID è un singolo punto di errore. Se sono stati violati come RSA Azienda quindi tutti gli account possono essere compromessi. Il compromesso è che se tu hai un problema come SQL injection e usi solo OpenID, allora un utente malintenzionato non sarebbe in grado di compromettere gli account usando questo tipo di vulnerabilità.
Leggi altre domande sui tag authentication identity passwords openid federation