OpenID Nachrüstung und ich vertrauen kann, wo sensible Daten beteiligt?
https://stackoverflow.com/questions/144324
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich erwäge das Hinzufügen OpenID zu unseren Kunden gegenüber admin und Bedienfeld Bereichen ...
1 - Verknüpfen von OpenID ist mit vorhandenen Konten
Für Kunden, die bereits Konten bei uns haben, ich denke, sie müssten ihre bestehenden Kontonummer anmelden verwenden, die wir ausgeben und dann würde ich einen Mechanismus haben, um ihre OpenID zu assoziieren mit diesem Konto auf ihrem Konto-Management-Bereich ( nennen es ‚OpenID-Manager‘ für die Zwecke der Beweisführung).
In dem ‚OpenID-Manager‘, den Benutzer vorausgesetzt bereits eine OpenID hat, würde ich den Benutzer gegen ihre OpenID authentifiziere dann mit unserer generierten Kontonummer assoziiert für zukünftige OpenID-Anmeldungen (unter der Annahme, dass sie ok authentifizierte)?
2 - Sensible Daten
Obwohl wir die Kreditkartendaten in unserer DB nicht voll speichern gibt es andere Daten, die empfindlich ist, Rechnungen, Domain reg Details usw. Nach der Lektüre dieses Artikels http://idcorner.org/2007/08/22/the-problems-with-openid/ ich bin ein wenig vorsichtig über die Idee auf diese Weise OpenID, was ist der allgemeine Konsens mit Ihnen Leute?
Lösung
Es scheint mir, dass viele der Argumente gegen OpenID sind entweder aus Unwissenheit oder von Menschen mit einer Axt gemacht zu schleifen.
Zum Beispiel kann das Dokument, das Sie verknüpfen beschwert sich, dass Sie sich mit einem URI zu identifizieren ist „Entmenschlichung und mehr als ein wenig erschreckend“. Ist das eine berechtigte Beschwerde, oder etwas von jemandem geschrieben verzweifelt Dinge zu finden, um sie zu beschweren?
Die beiden wichtigsten Dinge, die erhalten gebracht werden Phishing und Konten kompromittiert und diese Argumente wurden so viele Male aufgewärmt, es ist schwer, jemanden ernst zu nehmen, wenn sie sie ohne neue Punkte noch einmal bringen zu machen.
Phishing-Schutz ist abhängig vom Anbieter. Einige Anbieter bieten viel bessere Sicherheit als typische Websites je tun würde. Einige Anbieter bieten nur den typischen Benutzernamen und Passwort ein. So oder so, wenn ein Konto kompromittiert ist, das ist etwas zwischen dem Benutzer und deren Anbietern, es ist nicht deine Sorge. Sie sorgen sie nicht, dass die Endbenutzer ein Keylogger auf Ihrem Computer installiert sind, nicht wahr? Das ist, weil ihre lokale Sicherheit ist nicht in Ihrer Verantwortung, auch wenn es verwendet werden könnte, den Zugang zu ihrem Konto zu gewinnen. Ebenso mit OpenID -. Seine Sicherheit ist nicht Ihre Verantwortung
Wenn Sie eine OpenID gefährden, gibt es Ihnen mehr Zugang als eine einzelne Website. Sicher, aber das gleiche gilt für E-Mail. Sagen Sie einfach, Sie Ihr Passwort vergessen haben, und Sie erhalten einen neuen geschickt. Sie haben nun Zugriff auf jedes Konto sie mit dieser E-Mail-Adresse registriert haben.
OpenID ist nicht schlechter als der Status quo, und es ist deutlich besser in vielen Fällen, vor allem für informierte Nutzer. Wenn Sie immer noch vorsichtig bei ihm sind, dann einfach macht es optional, so dass nur die informierten Nutzer verwenden.
Andere Tipps
würde ich die Registrierung von mehrere OpenIDs mit einem bestimmten Konto ermöglichen. Das ist ein nettes Feature zu haben, weil es Benutzer erlaubt, zwischen OpenIDs zu migrieren sollte die Notwendigkeit jemals entstehen.
Wie gesagt, wirft der idcorner Link einen guten Punkt. Ich glaube, er massiv die Sicherheitsfrage überbläst und macht viele idiotischen Annahmen darüber, wie OpenID-Provider arbeiten, aber dass OpenID wirklich nicht dazu gedacht ist, alle Formen der Benutzerauthentifizierung zu ersetzen. Es wird entwickelt, es leicht mit irgendeiner Form von Standardauthentifizierung mit einer Website interagieren „Drive-by“ Benutzer zu machen.
- Gewesen überhaupt jemand Blog, wollen einen Kommentar hinterlassen, aber zuerst müssen Sie eine 3-seitige Registrierung Schritt durch? OpenID löst dieses Problem.
- Möchten Sie einen schnellen Fehlerbericht auf einem öffentlichen Tracker posten, aber zuerst ein Konto benötigen? OpenID zur Rettung.
- Möchten Sie in einer Web-zugänglichen Art und Weise empfindlich proprietäre Daten speichern und nur an Personen Zugang zur Verfügung stellen, die vertrauenswürdig sind? OpenID ist nicht die Lösung.
