PHP OpenID不工作与谷歌/雅虎和'攻击'解决它...它们安全吗？

Question

我已经尝试与OpenID，并且已经设置了一个采样网页的访问使我OpenID帐户。我在使用 Php OpenID图书馆通过Janrain 这不是工作我的谷歌的帐户。一个小小的研究导致我 这个问题, ，这表明问题的是使用谷歌 https 和...

...它是可能的安装使HTTPS请求是borked在PHP服务器。检查以确保你的加利福尼亚州-证书的包装。

在同一线，有人链接到他们的 黑客攻击版本的图书馆 我部署和使用与我的谷歌帐户的成功。其他问题有其他定义得到周围的类似问题(Janrain的PHP-OpenID和谷歌/雅虎, php-openID不起作用雅虎！, 例的使用斧头，在PHP OpenID...)

我不是太热的在安全、因此，我要求;任何人都不会知道的理由不使用这些黑客攻击的版本？

不会的原始库中有什么缺点，这些黑客修正通过设计的，因此黑客是一个潜在的安全漏洞?

是否有一个合格的加密-放在那里谁看过任何这些解决方案并且消失了"，由大卫*Chaum的胡子！ 没有!!"

如果是这样的-我因此不应该使用任何这些黑客-我怎么会检查我"有ca-证书的包装"?

Answer 1

下面就是那些“被黑”版本之一的作者写道：

  

在特定CURLOPT_SSL_VERIFYPEER   和CURLOPT_SSL_VERIFYHOST是由真   默认：我将它们设置为false，它   就职于测试页！

这具有的效果是非常否定通过使用HTTPS提供的任何安全性的优势。在OpenID是所保护对一个中间人攻击，即一些坏人毒药您的DNS缓存发送所有google.com请求bad-guys.example的主要原因HTTPS是非常有用的。正确配置HTTPS，你会验证连接上的证书，发现它不是来自谷歌，并说：“我不会相信你的话，bad-guys！”

除非，当然，你不验证任何证书（您设置的所有SSL_VERIFY选项false），在这种情况下，你的服务器会相信一切bad-guys说，就好像它是真正的谷歌提供商。你能想象有可能是坏的。

现在，坦率地说，这不是的最坏的选择，你可以做，因为它没有比只使用HTTP，其中有很多人做反正差。你只是的骗你的用户的，如果你意味着当你不是说你提供HTTPS级别的安全性。

和有一个关于它的是或不是做一个基于DNS的攻击多么容易，或者是多么容易到的锻造SSL证书的。无论哪种方式，它确实需要有人来攻击你的服务器和谷歌，这是之间的连接的一般的难度比攻击用户的笔记本电脑在咖啡店和服务器之间的连接。

但尽管如此，更好真正解决您的PHP或卷曲的SSL配置。或者，如果你不这样做，你的提醒用户，当他们签署了HTTPS标识符，这样他们就可以选择，如果他们真的想使用OpenID的与您的网站。

这会导致你的第二个问题。我想，不知道任何有关其服务器平台，您正在使用，我所能做的最好的事情是你链接到的上的SSL证书卷曲文档;看到上面写着一节“获得更好/不同的/新的CA证书捆绑！”

Answer 2

从维基百科上的文章 证书的权威:

CA问题的数字证书，其中包含一个公钥和身份的所有者。当最终用户试图访问一个未知的网址，网络浏览器(例如火狐和Microsoft Internet Explorer)将联系CA确认公共钥匙的网址。

...所以CA证书是一个 公共钥匙证书 用于通过 https://.你的服务器应该有证书在文件系统上的地方。如果没有，只有以下载CA证自己和自己设置的 CURLOPT_CAINFO 恒定的要点的位置。 看看这篇文章.

http://unitstep.net/blog/2009/05/05/using-curl-in-php-to-access-https-ssltls-protected-sites/

Answer 3

  

[...]做的理由，不任何人都知道   使用这些入侵版本？

除了这个事实，他们破解版本，其中最有可能无证并不能保证为他们的行为？

我无法具体回答，但它应该有一定的警示灯，当你与有快速修正和解决方案应用，模块工作闪烁尤其是当你要处理的授权和安全。我认为最好的忠告将“使用风险自担！”

我敢肯定有人的话题更多的知识将会更明智得出答案很快。