التعديل التحديثي لـ OpenID وهل يمكنني الوثوق بالمكان الذي تتضمن فيه البيانات الحساسة؟
https://stackoverflow.com/questions/144324
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أفكر في إضافة OpenID لعملائنا الذين يواجهون مناطق الإدارة ولوحة التحكم...
1 - ربط OpenID بالحسابات الموجودة
بالنسبة للعملاء الذين لديهم حسابات معنا بالفعل، أعتقد أنهم سيحتاجون إلى تسجيل الدخول باستخدام رقم حسابهم الحالي الذي نصدره ومن ثم سيكون لدي آلية لربط OpenID الخاص بهم بهذا الحساب في منطقة إدارة حساباتهم (أطلق عليها اسم " OpenID Manager" من أجل الجدال).
في "OpenID Manager"، بافتراض أن المستخدم لديه OpenID بالفعل، هل يمكنني مصادقة المستخدم مقابل OpenID الخاص به ثم ربطه برقم الحساب الذي تم إنشاؤه لتسجيلات OpenID المستقبلية (بافتراض أنه تمت مصادقته بشكل جيد)؟
2- البيانات الحساسة
على الرغم من أننا لا نقوم بتخزين بيانات بطاقة الائتمان الكاملة في قاعدة بياناتنا، إلا أن هناك بيانات أخرى حساسة، مثل الفواتير وتفاصيل تسجيل النطاق وما إلى ذلك.بعد قراءة هذا المقال http://idcorner.org/2007/08/22/the-problems-with-openid/ أنا حذر بعض الشيء بشأن فكرة استخدام OpenID بهذه الطريقة، ما هو الإجماع العام معكم؟
المحلول
يبدو لي أن الكثير من الحجج ضد OpenID إما أنها مصنوعة من الجهل أو من قبل أشخاص لديهم إرادة قوية.
على سبيل المثال، الوثيقة التي ترتبط بها تشكو من أن تعريف نفسك باستخدام معرف الموارد المنتظم (URI) هو "أمر مهين ومخيف إلى حد ما".هل هذه شكوى مشروعة، أم شيء كتبه شخص يائس للعثور على أشياء للشكوى منها؟
الأمران الرئيسيان اللذان تم طرحهما هما التصيد الاحتيالي والحسابات المخترقة، وقد تم تكرار هذه الحجج مرات عديدة، ومن الصعب أخذ شخص ما على محمل الجد إذا طرحها مرة أخرى دون أي نقاط جديدة لطرحها.
تعتمد الحماية من التصيد الاحتيالي على الموفر.يقدم بعض مقدمي الخدمة أمانًا أفضل بكثير من المواقع التقليدية.يقدم بعض مقدمي الخدمات فقط اسم المستخدم وكلمة المرور النموذجيين.وفي كلتا الحالتين، إذا تم اختراق الحساب، فهذا شيء بين المستخدم ومزود الخدمة، وهذا ليس من شأنك.لا تقلق من أن المستخدم النهائي لديه برنامج Keylogger مثبت على جهاز الكمبيوتر الخاص به، أليس كذلك؟وذلك لأن أمنهم المحلي ليس من مسؤوليتك، على الرغم من إمكانية استخدامه للوصول إلى حساباتهم.وبالمثل مع OpenID، فإن أمانه ليس مسؤوليتك.
إذا قمت باختراق OpenID، فإنه يتيح لك الوصول إلى أكثر من موقع ويب واحد.بالتأكيد، ولكن الشيء نفسه ينطبق على البريد الإلكتروني.لنفترض أنك نسيت كلمة المرور الخاصة بك، وسيتم إرسال كلمة مرور جديدة إليك.يمكنك الآن الوصول إلى كل حساب قاموا بتسجيله باستخدام عنوان البريد الإلكتروني هذا.
OpenID ليس أسوأ من الوضع الراهن، بل هو أفضل بكثير في كثير من الظروف، وخاصة للمستخدمين المطلعين.إذا كنت لا تزال حذرًا منه، فاجعله اختياريًا، بحيث يستخدمه المستخدمون المطلعون فقط.
نصائح أخرى
سأسمح بتسجيل عديد OpenIDs مع حساب معين.هذه ميزة رائعة لأنها تسمح للمستخدمين بالانتقال بين OpenIDs إذا دعت الحاجة إلى ذلك.
ومع ذلك، فإن رابط idcorner يثير نقطة جيدة.أعتقد أنه يبالغ في تضخيم مشكلة الأمان ويضع العديد من الافتراضات الغبية حول كيفية عمل موفري OpenID، لكن OpenID لا يهدف حقًا إلى استبدال جميع أشكال مصادقة المستخدم.لقد تم تصميمه ليسهل على مستخدمي "القيادة" التفاعل مع الموقع باستخدام شكل ما من أشكال المصادقة الأساسية.
- هل سبق لك أن زرت مدونة شخص ما، وتريد نشر تعليق، ولكن عليك أولاً إجراء عملية تسجيل مكونة من 3 صفحات؟OpenID يحل هذه المشكلة.
- هل تريد نشر تقرير سريع عن الأخطاء على متتبع عام ولكنك تحتاج إلى حساب أولاً؟OpenID للإنقاذ.
- هل ترغب في تخزين بيانات الملكية الحساسة بطريقة يمكن الوصول إليها عبر الويب وتوفير الوصول إليها فقط للأشخاص الموثوق بهم؟OpenID هو لا الحل.
