Fournisseurs OpenID - Qu'est-ce qui arrête les fournisseurs malveillants?
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'aime l’idée OpenID. Je le soutiens sur mon site et je l’utilise chaque fois que cela est possible (comme ici!). Mais je ne suis pas clair sur une chose.
Un site qui supporte OpenID accepte essentiellement tout fournisseur OpenID, non? Comment cela fonctionne-t-il avec les sites qui souhaitent réduire le nombre d'inscriptions de bot? Qu'est-ce qui empêche un fournisseur OpenID malveillant de configurer automatiquement un nombre illimité d'ID de bot?
J'ai quelques idées et je les publierai comme une réponse possible, mais je me demandais si quelqu'un pouvait voir quelque chose d'évident qu'il m'avait manqué?
La solution
Vous avez confondu deux choses différentes: l'identification et l'autorisation. Ce n'est pas parce que vous savez qui est quelqu'un que vous devez lui donner automatiquement la permission de faire quoi que ce soit. Simon Willison résume bien cela dans Un OpenID n'est pas un compte! disponible dans la liste blanche sociale avec OpenID .
Autres conseils
La réponse courte à votre question est la suivante: "Ce n’est pas le cas". OpenID fournit délibérément un mécanisme permettant d’avoir un site d’authentification centralisé; C'est à vous de choisir les fournisseurs OpenID que vous considérez personnellement comme acceptables. Par exemple, Microsoft a récemment décidé d'autoriser OpenID sur son site Healthvault uniquement à partir d'un certain peu de fournisseurs . Une entreprise peut décider d'autoriser uniquement les connexions OpenID à partir de son point d'accès basé sur LDAP, un organisme gouvernemental peut n'accepter que des OpenIDs provenant de sites biométriques, et un blog peut n'accepter que TypePad en raison de son filtrage intensif du courrier indésirable.
Il semble y avoir beaucoup de confusion autour d’OpenID. Son objectif initial était simplement de fournir un mécanisme de connexion standard afin que, lorsque j’ai besoin d’un mécanisme de connexion sécurisé, je puisse sélectionner un ou tous les fournisseurs OpenID pour le gérer à ma place. Permettre à quiconque de configurer son propre fournisseur OpenID de confiance n’a jamais été l’objectif recherché. Effectuer la deuxième opération est impossible, après tout, même avec le cryptage, rien ne vous empêche de configurer votre propre fournisseur pour mentir en toute sécurité et affirmer qu'il authentifie qui vous voulez. Avoir un seul mécanisme de connexion normalisé est déjà un grand pas en avant.
OpenId est bien plus que le nom d'utilisateur et le mot de passe qu'un utilisateur sélectionne lors de son inscription sur votre site. Vous ne comptez pas sur le cadre OpenId pour éliminer les robots; votre système d'enregistrement devrait toujours le faire.
Solution possible - vous pouvez toujours demander aux nouveaux identifiants de passer un test CAPTCHA. Tout comme les bots peuvent s'inscrire avec n'importe quelle adresse fictive / multiple sur n'importe quel site, mais échouent à la "vérification". y aller aussi.
Ou allons-nous devoir commencer à maintenir des listes noires de fournisseurs? Celles-ci ne fonctionneront pas très bien, compte tenu de la facilité avec laquelle il est facile de créer un nouveau fournisseur.
Autant que je sache, OpenID n’adresse que l’identification, pas l’autorisation. L’arrêt des robots est une question d’autorisation.
Notez que, contrairement aux méthodes classiques, "par site". connexions, OpenID vous donne une identité qui transcende potentiellement des sites individuels. Mieux encore, cette identité est même une adresse URI, il est donc parfait pour l’utilisation avec RDF pour échanger ou interroger des métadonnées arbitraires sur l’identité.
Vous pouvez faire quelques choses avec un OpenID que vous ne pouvez pas faire avec un nom d'utilisateur conventionnel d'un nouvel utilisateur.
Tout d’abord, vous pouvez effectuer quelques opérations simples sur la liste blanche. Si * .bigcorp.example sont des OpenID provenant d'employés de Big Corp et que vous savez que Big Corp ne sont pas des spammeurs, vous pouvez ajouter ces OpenID à la liste blanche. Cela devrait bien fonctionner pour les sites semi-fermés. C'est peut-être un site social pour les employés actuels et passés.
Mieux, vous pouvez toutefois déduire des autres endroits que vous avez utilisé OpenID. Supposons que vous ayez une carte des OpenID avec les valeurs de réputation de Stackoverflow.com. Lorsque quelqu'un se présente sur votre forum Web avec un OpenID, vous pouvez voir s'il a une bonne réputation sur Stackoverflow et ignorer la période de CAPTCHA ou de probation pour ces utilisateurs.
