Come gestire due set di credenziali OpenID che forniscono le stesse informazioni, sullo stesso o su provider OpenID diversi?

7

Recentemente ho riscontrato una situazione in cui un sito presupponeva che se due credenziali di persone diverse per la stessa rete OpenID producessero lo stesso indirizzo email, allora erano la stessa persona. Inoltre, meno recentemente ho riscontrato una situazione in cui un sito presupponeva che se due provider OpenID diversi producevano lo stesso indirizzo e-mail, allora erano la stessa persona.

Entrambi questi sembrano problemi di sicurezza per me. Solo perché Facebook pensa che il mio indirizzo email sia [email protected] non significa che dovresti darmi accesso all'account [email protected] sul tuo sito.

Mi sto perdendo qualcosa qui? Qual è il modo giusto per gestire queste situazioni?

    
posta Sparr 08.05.2013 - 19:23
fonte

1 risposta

4

La tua preoccupazione è giustificata, questo comportamento non dovrebbe essere permesso. Citando pagina della guida di myopenid :

OpenID is a decentralized identity system. An OpenID identity is just a URL. All OpenID does is provide a way to prove that you own a URL (identity).

Qualsiasi informazione aggiuntiva associata a quell'URL non è [necessariamente] attendibile, a meno che anche il provider OpenID sia autorevole a tali informazioni (ad esempio, Google è un provider OpenID e un indirizzo e-mail fornitore, quindi quando Google dice "il proprietario di questo URL [google] è anche il proprietario di questo account GMail" puoi fidarti di esso). Persino quei siti che adottano misure aggiuntive per convalidare gli indirizzi e-mail degli utenti non sono ancora autorevoli e la validazione dimostra che l'utente ha controllato l'indirizzo al momento della convalida (ad esempio, l'e-mail potrebbe essere cambiata, se si tratta di una e-mail aziendale, ad esempio, o se l'utente potrebbe essersi registrato con una e-mail condivisa, ecc.)

Il comportamento corretto potrebbe essere:

  • Registrare due account distinti con lo stesso indirizzo e-mail;
  • Rifiuta la creazione del secondo account (se per qualsiasi motivo l'indirizzo e-mail deve essere univoco);
  • Offri a link / unione entrambi gli account, richiedendo che l'utente effettui l'autenticazione di nuovo con il primo account, dimostrando così di possedere entrambi gli URL (le informazioni associate sono irrilevanti ).
risposta data 24.05.2013 - 04:30
fonte

Leggi altre domande sui tag