موفرو OpenID - ما الذي يمنع مقدمي الخدمات الضارين؟
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لذلك أحب فكرة OpenID.أنا أدعمه على موقعي، وأستخدمه حيثما كان ذلك ممكنًا (مثل هنا!).لكنني لست واضحا بشأن شيء واحد.
الموقع الذي يدعم OpenID يقبل بشكل أساسي أي مزود OpenID، أليس كذلك؟كيف يعمل ذلك مع المواقع التي ترغب في تقليل عمليات الاشتراك في الروبوتات؟ما الذي يمنع موفر OpenID الخبيث من إعداد معرفات روبوت غير محدودة تلقائيًا؟
لدي بعض الأفكار، وسأقوم بنشرها كإجابة محتملة، لكنني كنت أتساءل عما إذا كان بإمكان أي شخص رؤية شيء واضح فاتني؟
المحلول
لقد خلطت بين شيئين مختلفين: تحديد الهوية والترخيص.فقط لأنك تعرف من هو شخص ما، فهذا لا يعني أنه يتعين عليك منحه الإذن تلقائيًا لفعل أي شيء.يغطي سايمون ويلسون هذا بشكل جيد OpenID ليس حسابًا! مزيد من المناقشة حول القائمة البيضاء متاحة في القائمة البيضاء الاجتماعية مع OpenID.
نصائح أخرى
الإجابة المختصرة على سؤالك هي ، "هذا لا". يوفر OpenID عمداً آلية فقط للحصول على موقع مصادقة مركزي ؛الأمر متروك لك لتحديد موفري OpenID الذين تعتبرهم مقبولين شخصيًا.على سبيل المثال، مايكروسوفت قررت مؤخرًا السماح لـ OpenID على موقع Healthvault الخاص بها فقط من عدد قليل من مقدمي الخدمة.قد تقرر الشركة السماح فقط بتسجيلات الدخول إلى OpenID من نقطة الوصول المدعومة بـ LDAP، وقد تقبل وكالة حكومية فقط OpenIDs من المواقع المدعومة بالقياسات الحيوية، وقد تقبل المدونة TypePad فقط بسبب فحصها المكثف للبريد العشوائي.
يبدو أن هناك الكثير من الالتباس حول OpenID.كان هدفها الأصلي ببساطة هو توفير آلية تسجيل دخول قياسية، بحيث يمكنني، عندما أحتاج إلى آلية تسجيل دخول آمنة، الاختيار من بين أي من موفري OpenID أو جميعهم للتعامل مع ذلك نيابةً عني.السماح لأي شخص في أي مكان بإعداد OpenID الموثوق به مزود لم يكن أبدا هو الهدف.إن تنفيذ الإجراء الثاني بفعالية أمر مستحيل - ففي نهاية المطاف، حتى مع التشفير، لا يوجد سبب يمنعك من إعداد مزود الخدمة الخاص بك ليكذب بشكل آمن ويقول إنه يتحقق من هوية من تريد.يعد وجود آلية تسجيل دخول موحدة واحدة في حد ذاته خطوة رائعة للأمام.
لا يعد OpenId أكثر من مجرد اسم مستخدم وكلمة مرور يحددهما المستخدم عند التسجيل في موقعك.لا تعتمد على إطار عمل OpenId للتخلص من الروبوتات؛يجب أن يظل نظام التسجيل الخاص بك يفعل ذلك.
الحل المحتمل - لا يزال بإمكانك أن تطلب من المعرفات الجديدة اجتياز اختبار CAPTCHA.تمامًا كما يمكن لبرامج الروبوت التسجيل باستخدام عناوين بريد إلكتروني مزيفة/متعددة في أي موقع، ولكنها تفشل في خطوة "التحقق" هناك أيضًا.
أم أننا سنضطر إلى البدء في الاحتفاظ بالقوائم السوداء لمقدمي الخدمة؟لن تعمل هذه الأمور بشكل جيد حقًا، نظرًا لمدى سهولة إنشاء مزود جديد.
بقدر ما أستطيع أن أقول، فإن OpenID يعالج فقط الهوية، وليس التفويض.إن إيقاف الروبوتات هو مسألة إذن.
لاحظ أنه على عكس عمليات تسجيل الدخول التقليدية "لكل موقع"، يمنحك OpenID هوية من المحتمل أن تتجاوز المواقع الفردية.والأفضل من ذلك، أن هذه الهوية هي عنوان URI لذا فهي مثالية للاستخدام مع RDF لتبادل البيانات الوصفية العشوائية حول الهوية أو الاستعلام عنها.
يمكنك القيام ببعض الأشياء باستخدام OpenID والتي لا يمكنك القيام بها باستخدام اسم مستخدم تقليدي من مستخدم جديد.
أولاً، يمكنك القيام ببعض عمليات القائمة البيضاء البسيطة.إذا كان *.bigcorp.example عبارة عن OpenIDs من موظفي Big Corp وأنت تعلم أن Big Corp ليست من مرسلي البريد العشوائي، فيمكنك إدراج تلك OpenIDs في القائمة البيضاء.من المفترض أن يعمل هذا بشكل جيد مع المواقع شبه المغلقة، وربما يكون موقعًا اجتماعيًا للموظفين الحاليين والسابقين.
والأفضل من ذلك، أنه يمكنك التوصل إلى استنتاجات من الأماكن الأخرى التي تم فيها استخدام OpenID محددًا.لنفترض أن لديك خريطة OpenIDs لقيم السمعة من Stackoverflow.com.عندما يظهر شخص ما في منتدى الويب الخاص بك باستخدام OpenID، يمكنك معرفة ما إذا كان يتمتع بسمعة جيدة في Stackoverflow وتخطي اختبار CAPTCHA أو فترة الاختبار لهؤلاء المستخدمين.
