È una buona idea implementare i servizi OpenID in applicazioni interne e / o clienti?

Question

È una buona idea implementare i servizi OpenID in applicazioni interne e / o clienti?

#1 da (2 voti)
#2 da (1 voti)

1

Ho discusso con le mie università sull'accesso tramite l'account OpenID, l'account Google, ecc. nei CMS dei nostri clienti e / o nei sistemi interni che utilizziamo, dal momento che abbiamo ricevuto alcune richieste in merito a questo da entrambi clienti e nuovi.

Quali sono i tuoi approcci su questo? È una cattiva idea? Soprattutto per i nostri clienti, nei loro sistemi di gestione dei contenuti personalizzati? Penso davvero che possa essere un importante problema di sicurezza, ma un accesso normale, fornito da noi, nella realtà, potrebbe rappresentare un rischio per la sicurezza?

security cms openid

posta soerenn 23.03.2011 - 23:21

fonte

2 risposte

Leggi altre domande sui tag security cms openid

Se si utilizza MFC, come ha trovato il modo migliore di apprendere i concetti? [chiuso] In che modo il compilatore gestisce le eccezioni implicite? Alla ricerca di strategie di progettazione

score 2 · Answer 1

Penso che possedere credenziali di accesso sia un rischio maggiore per la sicurezza, almeno dal punto di vista politico. Dato che non hai nemmeno le password, hai semplicemente evitato di avere un problema di stile multimediale di gawker in cui qualcuno penetra nel tuo database e lo usa come trampolino di lancio perché la memoria delle tue password era debole.

Da un punto di vista della sicurezza tradizionale, hai la stessa potenziale autorizzazione e escalation dei problemi relativi ai privilegi, indipendentemente da come stai autenticando gli utenti.

score 1 · Answer 2

Se i tuoi clienti vogliono farlo, sicuramente ti salva il lavoro e rischia di implementare la tua autenticazione e richiede agli utenti di ricordare un'altra password. L'altra cosa è che solo perché supporti il protocollo OpenID non significa che devi accettare qualsiasi autenticazione. Quindi forse il tuo cliente è a suo agio con Google ma non con Yahoo per qualche strana ragione. Quindi puoi limitare l'app a utilizzare solo i registri di identità attendibili.

Vorrei sottolineare che le vulnerabilità della sicurezza nei sistemi sono in genere più comuni e più facili da sfruttare in modi diversi dal furto delle credenziali di accesso. Il OWASP Top Ten è un buon riepilogo dei problemi più comuni. Ad esempio, se la gestione della sessione è scadente, non sarà molto importante il modo in cui gli utenti accedono da una prospettiva di sicurezza.