Provider OpenID: cosa ferma i provider dannosi?
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Quindi mi piace l'idea di OpenID.Lo supporto sul mio sito e lo utilizzo ovunque sia possibile (come qui!).Ma non mi è chiara una cosa.
Un sito che supporta OpenID accetta praticamente qualsiasi provider OpenID disponibile, giusto?Come funziona con i siti che vogliono ridurre le iscrizioni ai bot?Cosa impedisce a un provider OpenID dannoso di impostare automaticamente ID bot illimitati?
Ho alcune idee e le pubblicherò come possibile risposta, ma mi chiedevo se qualcuno potesse vedere qualcosa di ovvio che mi sono perso?
Soluzione
Hai confuso due cose diverse: identificazione e autorizzazione.Solo perché sai chi è qualcuno, non significa che devi dargli automaticamente il permesso di fare qualsiasi cosa.Simon Willison lo spiega bene Un OpenID non è un account! Ulteriori discussioni sulla whitelist sono disponibili in Whitelist sociale con OpenID.
Altri suggerimenti
La breve risposta alla tua domanda è "Non è". OpenID fornisce deliberatamente solo un meccanismo per avere un sito di autenticazione centralizzata;spetta a te decidere quali fornitori OpenID consideri personalmente accettabili.Ad esempio, Microsoft ha recentemente deciso di consentire OpenID sul proprio sito Healthvault solo da alcuni fornitori selezionati.Un'azienda può decidere di consentire accessi OpenID solo dal suo punto di accesso supportato da LDAP, un'agenzia governativa può accettare OpenID solo da siti supportati da dati biometrici e un blog potrebbe accettare solo TypePad a causa del loro intenso controllo dello spam.
Sembra che ci sia molta confusione su OpenID.Il suo obiettivo originale era semplicemente quello di fornire un meccanismo di accesso standard in modo che, quando ho bisogno di un meccanismo di accesso sicuro, posso scegliere tra uno o tutti i provider OpenID per gestirlo per me.Consentire a chiunque, ovunque, di impostare il proprio OpenID affidabile fornitore non è mai stato l'obiettivo.Fare il secondo in modo efficace è impossibile: dopo tutto, anche con la crittografia, non c'è motivo per cui non puoi impostare il tuo provider per mentire in modo sicuro e dire che sta autenticando chiunque tu voglia.Avere un meccanismo di accesso unico e standardizzato è già di per sé un grande passo avanti.
OpenId non è molto più del nome utente e della password che un utente seleziona quando si registra al tuo sito.Non fai affidamento sul framework OpenId per eliminare i bot;il tuo sistema di registrazione dovrebbe ancora farlo.
Possibile soluzione: puoi comunque chiedere ai nuovi ID di superare un test CAPTCHA.Proprio come i bot possono registrarsi con indirizzi email falsi/multipli su qualsiasi sito, ma falliscono anche lì il passaggio di "verifica".
Oppure dovremo iniziare a mantenere liste nere di fornitori?Questi non funzioneranno molto bene, dato che è banalmente facile creare un nuovo fornitore.
Per quanto ne so, OpenID riguarda solo l'identificazione, non l'autorizzazione.Fermare i bot è una questione di autorizzazione.
Tieni presente che, a differenza degli accessi convenzionali "per sito", OpenID ti fornisce un'identità che potenzialmente trascende i singoli siti.Meglio ancora, questa identità è anche un URI, quindi è perfetta per l'utilizzo con RDF per scambiare o interrogare metadati arbitrari sull'identità.
Puoi fare alcune cose con un OpenID che non puoi fare con un nome utente convenzionale di un nuovo utente.
Innanzitutto puoi eseguire alcune semplici operazioni sulla whitelist.Se *.bigcorp.example sono OpenID di dipendenti di Big Corp e sai che Big Corp non sono spammer, puoi inserire tali OpenID nella whitelist.Dovrebbe funzionare bene per i siti semichiusi, forse è un sito sociale per i dipendenti attuali e passati.
Meglio però, puoi fare deduzioni dagli altri luoghi in cui è stato utilizzato OpenID specifico.Supponiamo di avere una mappa degli OpenID sui valori di reputazione da Stackoverflow.com.Quando qualcuno si presenta al tuo forum web con un OpenID, puoi vedere se ha una reputazione decente su Stackoverflow e saltare il CAPTCHA o il periodo di prova per quegli utenti.
