Perché Facebook e così via sono considerati server di autorizzazione tipici in OpenId?

Naviga le tue risposte
1

La specifica OAuth2 dice:

The interaction between the authorization server and resource server is beyond the scope of this specification. The authorization server may be the same server as the resource server or a separate entity.

Ritengo che ciò significhi che il server di autorizzazione è come un grande fratello di fiducia qui, che può facilmente, ma malintenzionalmente, accedere ai dati che normalmente dovrebbero essere limitati agli utenti legittimi. In tal caso, perché Facebook e così via sono considerati server di autorizzazione tipici? Perché dovrebbero essere così fidati? Potrei aver perso qualcosa di base qui. Quindi, espongo la mia ignoranza nella speranza di diventare meno ignorante.

    
posta Dominic108 21.12.2015 - 22:38
fonte

2 risposte

1

Why should [Facebook and other large companies] get the status of trusted parties?

Chiunque può essere una parte fidata semplicemente fidandosi di loro per fornire l'autorizzazione all'account. Per queste grandi aziende, sono server di autorizzazione comuni perché è semplice e generalmente il mondo si fida di loro per mantenere la sicurezza sugli account. Un dipendente o un utente malintenzionato che esce dai limiti con accesso ai controlli dell'account in una di queste società può accedere come chiunque.

Insieme, Facebook e Google hanno alcune delle più grandi raccolte di account utente nel mondo con forti team di sicurezza. La maggior parte dei tuoi utenti avrà un account con almeno una di queste società. Se vuoi semplificare il sovraccarico di configurazione di un sistema di autenticazione e anche rendere più semplice per gli utenti l'utilizzo del servizio senza dover passare attraverso un flusso di registrazione, questo è quasi tutto.

    
risposta data 21.12.2015 - 22:45
fonte
1

Le grandi aziende come Google e Facebook hanno una reputazione da perdere.

Considerando la loro scala di funzionamento, non c'è molto da guadagnare irrompendo nell'account di qualche utente su qualche altro sito web. Ma se lo facessero e venissero catturati, sarebbe un vero scandalo che danneggerebbe gravemente la loro reputazione e indurrebbe i loro utenti a dubitare della loro affidabilità.

Le persone hanno già dato molta fiducia a società come Facebook e Google. La maggior parte degli utenti dei loro servizi sono ormai consapevoli del fatto che queste aziende dati estraggono ogni clic che fanno. E sono consapevoli del fatto che queste aziende ne sanno di più di quanto sappiano di loro stesse. E questi utenti vanno perfettamente d'accordo perché credono che queste aziende utilizzino tale conoscenza solo per la raccomandazione sui contenuti e il targeting pubblicitario, non per distruggere la loro vita. Se già ci si fida di loro, anche fidarsi di loro come fornitore di autorizzazioni per altri servizi non è un grande passo avanti.

Personalmente non uso mai OpenID con un provider di autenticazione che non è affiliato con il sito web in cui mi sto collegando. Non solo perché non mi fido della maggior parte dei siti Web utilizzati frequentemente come provider di autenticazione, ma anche perché il sito Web di accesso non ha bisogno di sapere se e quali identità ho su altri siti web. Ma sono consapevole del fatto che il mio livello di privacy è superiore a quello della maggior parte delle persone.

    
risposta data 22.12.2015 - 04:19
fonte

Leggi altre domande sui tag

Le crittografie protette interrompono i certificati multi-dominio? C'è una john doe di internet (non anonima)? [chiuso]