Google использует адреса электронной почты как строки входа OpenID для своей службы поставщика.Почему опасно использовать адрес электронной почты как OpenID?
Я читал о конференции, на которой они настаивали, чтобы включить ее в стандарт. Microsoft была против этого, «официальная» причина была уязвимостью в области безопасности, которую это предположительно представило бы. Это фиктивный? Если нет, то почему это небезопасно?
Одна из опасностей использования адреса электронной почты заключается в том, что это допустимо. Или, скорее, кто-то, кто хочет разбить вашу учетную запись, вероятно, это узнает.
Сравните это с текущей ситуацией, когда ваше имя пользователя и ваш поставщик OpenID могут быть чем угодно. Возможно, это возможно, возможно, это не так. Если это не так, вам будет намного сложнее скомпрометировать вашу учетную запись.
Некоторые люди, похоже, имеют проблемы с этим. Послушайте, это довольно просто. Я не сказал, что неочевидное имя пользователя само по себе является достаточной защитой. Отнюдь не. Безопасность через безвестность - это не безопасность.
Однако, это чистый здравом что из:
То, что (1) в наихудшем случае одинаково безопасен для (2) и в лучшем случае более безопасен.
Более того, если ваш адрес электронной почты является вашим паролем, тогда, если вы нарушите чей-то адрес электронной почты, вы потенциально можете скомпрометировать каждую систему, которая использует это как имя пользователя, легче скомпрометировать как в силу «Забыть пароль»? ссылки и тот факт, что пароль, используемый в одном месте, более вероятно, будет использоваться в другом.
Извините, но это просто здравый смысл.
Это противоречит минимальной концепции раскрытия информации. Прямо сейчас, если доверяющая сторона OpenID хочет, чтобы ваш адрес электронной почты просил об этом, и об этом предупреждал поставщик удостоверений, и попросил подтвердить его. Использование адреса электронной почты означает, что он подходит независимо от того, нравится вам это или нет, если вы не используете OpenID 2.0, который может генерировать уникальные значения для каждой полагающейся стороны.
Это также было бы большим изменением для всех библиотек OpenID - URL-адреса можно обнаружить, вы знаете, куда идти с ними, адреса электронной почты не являются, и именно поэтому в Google в одностороннем порядке возникла оскорбление, и она эффективно открывала OpenID стандартным для себя.
Другая проблема заключается в фишинге. OpenID очень уязвим для этого, так как пользователи доверяют полагающейся стороне перенаправлять их своему провайдеру после обнаружения его через предоставленный OpenID - поэтому «озорная» полагающаяся сторона может перенаправить на фишинговый сайт, который сохраняет OpenID и пароль. С Google OpenID и пароль - ваша учетная запись и пароль Gmail, поэтому вы не только потеряли контроль над своим OpenID, но и своей учетной записью электронной почты. Конечно, это может быть обеспечено провайдером - у вас могут быть отдельные пароли электронной почты и пароли OpenID, у вас может быть секретное сообщение для каждого пользователя, которое вы показываете на странице входа OpenID, но поскольку мы хорошо знаем, что пользователи глупые. Они не проверяют URL-адреса в браузере, они слепо нажимают ОК в диалоговых окнах, они просто не думают, что веб-страница может быть фальшивой. Используя адрес электронной почты и тот же пароль, Google подвергает большинство своих пользователей неприемлемому риску.
+1 для определения минимальной проблемы раскрытия -1 за то, что обвинил Google в forking OpenID 2.0, когда они фактически следуют протоколу (кроме делегирования). –
Не была ли вначале реализация google вилкой? У этого был дополнительный шаг открытия только для них, где Вы должны были поговорить с google, чтобы получить конечную точку? – blowdart
Так что, если это можно догадаться? Вам все еще нужен пароль. Разве вы не описываете [безопасность через неясность] (http://en.wikipedia.org/wiki/special:search/security_through_obscurity)? – Joe
@Joe: абсолютно. Если ваша безопасность полагается даже * слегка * на людей, не угадывающих ваше имя пользователя, вы не делаете это правильно. – skaffman