OpenID-Provider - was böswilligen Anbieter nicht mehr reagiert?
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
So mag ich die OpenID Idee. Ich unterstütze sie auf meiner Seite, und es verwenden, wo immer es möglich ist (wie hier!). Aber ich bin nicht klar, über eine Sache.
Eine Website, die OpenID unterstützt grundsätzlich jede OpenID-Provider übernimmt da draußen, nicht wahr? Wie funktioniert das mit Websites, die Bot-signups reduzieren wollen? Was ist ein bösartigen OpenID-Provider, um zu verhindern automatisch unbegrenzt Bot-IDs einrichten?
Ich habe einige Ideen, und wird sie als eine mögliche Antwort hinterlassen, aber ich habe mich gefragt, ob jemand etwas offensichtlich, dass ich verpasst habe sehen können?
Lösung
Sie haben zwei verschiedene Dinge verwechselt - Identifizierung und Autorisierung. Nur weil Sie wissen, wer jemand ist, bedeutet es nicht automatisch, sie zu geben haben die Erlaubnis, etwas zu tun. Simon Willison deckt diese schön in Ein OpenID ist kein Konto! Mehr Diskussion über Whitelisting ist in Social Whitelisting mit OpenID .
Andere Tipps
Die kurze Antwort auf Ihre Frage ist: „Es ist nicht.“ OpenID bietet bewusst nur einen Mechanismus ein zentralisiertes Authentisierungsstelle für aufweisen; es liegt, welche OpenID-Provider Sie zu entscheiden, Sie persönlich für akzeptabel halten. Zum Beispiel vor kurzem beschlossen, OpenID auf seiner Health Website zu ermöglichen, nur von einem ausgewählten wenige Anbieter . Ein Unternehmen kann nur entscheiden, OpenID-Anmeldungen von seinem LDAP-backed Access Point zu erlauben, kann eine Behörde nur OpenIDs von Biometrie-backed Seiten akzeptieren, und ein Blog kann nur annehmen TypePad aufgrund ihrer intensiven Spam vetting.
Es scheint eine Menge Verwirrung über OpenID zu sein. Sein ursprüngliches Ziel war es einfach einen Standard-Login-Mechanismus zu schaffen, so dass, wenn ich einen sicheren Login-Mechanismus benötigen, die ich von einem oder all OpenID-Provider auswählen kann, die für mich zu handhaben. So dass jeder überall ihre eigenen vertrauten OpenID einrichten Provider war nie das Ziel. effektiv die zweite zu tun, ist unmöglich, nachdem alle, auch mit Verschlüsselung, gibt es keinen Grund, warum Sie Ihre eigenen Provider nicht einstellen können bis zu sicher lügen und sagen, es ist die Authentifizierung wen auch immer Sie wollen. einen einzigen, standardisierten Login-Mechanismus zu haben, ist selbst schon ein großer Schritt nach vorn.
OpenId ist nicht viel mehr als den Benutzernamen und das Passwort ein Benutzer auswählt, wenn für Ihre Website zu registrieren. Sie verlassen sich nicht auf dem OpenId Rahmen Bots auszusortieren; Ihr Registrierungssystem nach wie vor, dass tun sollte.
Mögliche Lösung - Sie können immer noch neuen IDs bitten, einen CAPTCHA-Test zu bestehen. Genau wie Bots mit gefälschten / mehreren E-Mail-Adressen auf jede Website anmelden können, aber nicht die „Überprüfung“ dort Schritt auch.
Oder wollen wir beibehalten Provider schwarze Listen müssen anfangen? Diese werden nicht wirklich sehr gut funktionieren, da, wie trivial einfach es ist, einen neuen Provider einzurichten.
Soweit ich das beurteilen kann, OpenID-Adressen nur Identifikation, keine Berechtigung. Stoppen Bots ist eine Frage der Zulassung.
Beachten Sie, dass im Gegensatz zu herkömmlichen „pro Seite“ Logins, OpenID gibt Ihnen eine Identität, die möglicherweise einzelne Standorte hinweg. Noch besser wäre es, diese Identität ist auch eine URI sein so perfekt für RDF mit beliebigen Metadaten über die Identität auszutauschen oder abgefragt werden.
Sie können mit einer OpenID ein paar Dinge tun, die Sie nicht mit einem herkömmlichen Benutzername von einem neuen Benutzer tun können.
Zum einen können Sie einige einfache Whitelist-Operationen tun. Wenn * .bigcorp.example sind OpenIDs von Big Corp Mitarbeiter und Sie wissen, Big Corp nicht Spammer sind, dann können Sie diese OpenIDs weiße Liste. Dies sollte auch für Websites arbeiten, die halbgeschlossenen sind, vielleicht ist es ein sozialer Ort für aktuelle und frühere Mitarbeiter.
Besser aber können Sie Rückschlüsse aus den anderen Orten machen, die bestimmte OpenID verwendet wurde. Angenommen, Sie eine Karte von OpenIDs zu Reputationswerte von Stackoverflow.com haben. Wenn jemand mit einer OpenID bei Ihrem Web-Forum zeigt, können Sie sehen, ob sie bei Stackoverflow anständigen Ruf haben und die CAPTCHA oder Probezeit für die Benutzer überspringen.
