OpenID proveedores - lo detiene malicioso proveedores?
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Me gusta el OpenID idea.Me apoyo en mi sitio, y el uso donde sea posible (como en este caso!).Pero no tengo claro una cosa.
Un sitio que soporte OpenID básicamente acepta cualquier OpenID proveedor de ahí fuera, ¿verdad?¿Cómo funciona con los sitios que desean reducir los bot-inscripciones?Lo deje de un malicioso OpenID proveedor de ajuste a un número ilimitado de bot Id de forma automática?
Tengo algunas ideas, y se publicará como una posible respuesta, pero me preguntaba si alguien puede ver algo que es obvio que me he perdido?
Solución
Se han confundido dos cosas diferentes - identificación y autorización.Sólo porque usted sabe que alguien está, esto no significa que usted tiene que automáticamente les dan permiso para hacer cualquier cosa.Simon Willison cubre muy bien, en Un OpenID no es una cuenta! Más discusión sobre la creación de listas blancas está disponible en Social de listas blancas con OpenID.
Otros consejos
La respuesta corta a tu pregunta es "no". OpenID deliberadamente sólo proporciona un mecanismo para tener un sistema centralizado de autenticación de sitio;es hasta usted para decidir qué OpenID proveedores que personalmente considere aceptable.Por ejemplo, Microsoft recientemente decidió permitir OpenID en su Healthvault sitio sólo de unos pocos selectos proveedores.Una empresa puede decidir sólo para permitir OpenID los inicios de sesión de su LDAP-copia de punto de acceso, una agencia del gobierno sólo puede aceptar OpenIDs de biometría-copia de los sitios, y un blog sólo podría aceptar TypePad debido a su intensa spam de investigación de antecedentes.
Parece ser que hay una gran confusión sobre OpenID.Su objetivo original era simplemente para proporcionar un estándar mecanismo de inicio de sesión, de modo que, cuando necesito un seguro mecanismo de inicio de sesión, me puede seleccionar cualquiera o todos los OpenID proveedores de manejar que para mí.Permite a cualquier persona en cualquier lugar para establecer su confianza OpenID proveedor de no fue nunca el objetivo.Haciendo la segunda efectivamente es imposible, después de todo, incluso con el cifrado, no hay ninguna razón usted no puede configurar su propio proveedor de forma segura mentir y decir que es la autenticación de la persona para quien usted desee.Tener un único y estandarizado mecanismo de inicio de sesión de por sí ya es un gran paso adelante.
OpenId no es mucho más que el nombre de usuario y la contraseña de un usuario selecciona cuando se registra para su sitio.No confiar en el OpenId marco para eliminar a los bots;su sistema de registro debe seguir haciendo eso.
Posible solución - usted todavía puede solicitar nuevos Identificadores para pasar un CAPTCHA de prueba.Igual que los bots pueden inscribirse con falsos o varias direcciones de correo electrónico a cualquier sitio, pero no de la "verificación" paso de allí.
O vamos a tener que comenzar a mantener proveedor de listas negras?Aquellos que realmente no funcionan muy bien, dado lo extremadamente fácil que es configurar un nuevo proveedor.
Como lo que yo puedo decir, OpenID sólo se ocupa de la identificación, no de la autorización.Detener los bots es una cuestión de la autorización.
Observe que a diferencia de los de "por el sitio" los inicios de sesión, OpenID le da una identidad que potencialmente trasciende los sitios individuales.Mejor aún, esta identidad es aún un URI para su perfecto para usar con RDF para intercambio o consulta arbitraria de metadatos acerca de la identidad.
Usted puede hacer un par de cosas con un OpenID que no se puede hacer con un convencionales nombre de usuario de un usuario nuevo.
En primer lugar, usted puede hacer algunos de la lista blanca de operaciones.Si *.bigcorp.ejemplo son OpenIDs de Gran Corp empleados y usted sabe Gran Corp no son spammers, entonces usted puede whitelist los OpenIDs.Esto debe funcionar bien para los sitios que son semi-cerrado, tal vez es un sitio social para los colaboradores actuales y pasados.
Mejor, aunque, usted puede hacer inferencias a partir de los otros lugares en que se concreta OpenID ha sido utilizado.Supongamos que usted tiene un mapa de OpenIDs a la reputación de los valores de Stackoverflow.com.Cuando alguien aparece en su web foro con un OpenID, usted puede ver si tienen digno de la reputación en Stackoverflow y saltarse el CAPTCHA o período de prueba para los usuarios.
