A chi è indirizzato lo speciale URL OpenID Connect "self-issued.me", ed è un rischio?

1

OpenID Connect definisce un caso d'uso speciale per self -issued.me ed è registrato oltremare a quello che presumo sia un nome fittizio.

Qual è il rischio che qualcuno possieda questo dominio con w.r.t. OpenID Connect?

self-issued.me
Domain Name: SELF-ISSUED.ME
Registry Domain ID: D108500000002096888-AGRS
Registrar WHOIS Server:
Registrar URL: http://www.tucows.com
Updated Date: 2016-06-26T04:02:26Z
Creation Date: 2011-07-25T15:57:46Z
Registry Expiry Date: 2017-07-25T15:57:46Z
Registrar: Tucows Domains Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: ok https://icann.org/epp#ok
Registry Registrant ID: tuzK33SBHcrUhtLa
Registrant Name: John Bradley
Registrant Organization:
Registrant Street: Casilla 177
Registrant Street: Sucursal Talagante
Registrant City: Talagante
Registrant State/Province: Santiago RM
Registrant Postal Code: 9670447
Registrant Country: CL
Registrant Phone: +56.28559161
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID: tubOb46ov59QzL0V
Admin Name: John Bradley
Admin Organization:
Admin Street: Casilla 177
Admin Street: Sucursal Talagante
Admin City: Talagante
Admin State/Province: Santiago RM
Admin Postal Code: 9670447
Admin Country: CL
Admin Phone: +56.28559161
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: [email protected]
Registry Tech ID: tuXVh6iHDxmY8Tcn
Tech Name: John Bradley
Tech Organization:
Tech Street: Casilla 177
Tech Street: Sucursal Talagante
Tech City: Talagante
Tech State/Province: Santiago RM
Tech Postal Code: 9670447
Tech Country: CL
Tech Phone: +56.28559161
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: [email protected]
Name Server: NS1.SYSTEMDNS.COM
Name Server: NS2.SYSTEMDNS.COM
Name Server: NS3.SYSTEMDNS.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2017-02-07T21:08:10Z 
    
posta random65537 07.02.2017 - 22:12
fonte

1 risposta

1

Secondo il link , John Bradley è il tesoriere della OpenID Foundation.

John Bradley

Treasurer

Ping Identity

Mr. Bradley is an Identity Management subject matter expert and IT professional with a diverse background. Mr. Bradley has over 15 years experience in the information technology and identity management field. Mr. Bradley advises Government Agencies and commercial organizations on the policy and technical requirements of Identity Management, Federated Identity, PKI and smart card solutions. Mr. Bradley communicates effectively with clients, vendors, staff and standards organizations to brief them on complex state-of-the-art identity management concepts, best practices, and technical requirements. He is also Chair of the Federation Interoperability WG at Kantara. He is treasurer of the openID Foundation, on the advisory board for OIX, and an active contributor to SAML and other OASIS specifications at OASIS. . Mr. Bradley is one of the leaders of OSIS, and the Kantara Interoperability Review Board, forums that vendors use for industry interoperability testing, and thus has an in-depth understanding not only of the factors that contribute to success, but of upcoming trends that affect whether strategic planning will ensure optimal effectiveness for future operability. Recently John has been co-authoring the ICAM protocol profiles at Protiviti Government Services on behalf of GSA, and continues to support the FICAM interoperability Lab. Current projects include co-authoring the next version of the openID specification and related standards.

Puoi anche vedere il nome di John come uno degli autori dello standard OpenID .

C'è una pagina di LinkedIn che indica che John Bradley vive in Cile (CL).

Quindi il nome non sembra essere fittizio. Se il dettaglio della registrazione è forgiato da una terza parte che finge di essere John, è probabilmente difficile da dire se non si contatta direttamente John. Tuttavia, l'indirizzo e-mail utilizzato nella registrazione ([email protected]) corrisponde all'indirizzo email utilizzato da John per le sue opere OpenID, come menzionato in link e molte delle sue corrispondenze email nelle mailing list pubbliche.

In termini di sicurezza, qualsiasi buona implementazione di OpenID non dovrebbe affidarsi a emittenti non riconosciuti, e l'identità auto-emessa e https://self-issued.me dovrebbero essere considerati emittenti non riconosciuti per impostazione predefinita. Chiunque può essere un emittente OpenID, non tutti dovrebbero essere nell'elenco di emittente fidato per le tue applicazioni. Un ladro che ha il controllo di https://self-issued.me non dovrebbe mettere a rischio la sicurezza delle librerie che non è caso speciale https://self-issued.me , purché la libreria non sia stata configurata in modo errato per considerare https://self-issued.me .

    
risposta data 08.02.2017 - 01:52
fonte

Leggi altre domande sui tag