OpenID プロバイダー - 悪意のあるプロバイダーを阻止するものは何ですか?
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
したがって、私は OpenID のアイデアが気に入っています。私は自分のサイトでそれをサポートしており、可能な限りどこでも(ここのように!)使用しています。しかし、一つだけはっきりしないことがあります。
OpenID をサポートするサイトは、基本的に、そこにあるあらゆる OpenID プロバイダーを受け入れますよね。ボットの登録を減らしたいサイトでは、これはどのように機能するのでしょうか?悪意のある OpenID プロバイダーが無制限のボット ID を自動的に設定するのを阻止するにはどうすればよいでしょうか?
いくつかアイデアがあるので、可能な回答として投稿しますが、私が見逃している明らかな何かを誰かが見ることができるかどうか疑問に思っていました。
解決
識別と認可という 2 つの異なるものを混同しています。誰かが誰であるかを知っているからといって、自動的にその人に何かをする許可を与える必要があるというわけではありません。サイモン・ウィリソンがこれをうまくカバーしています OpenID はアカウントではありません。 ホワイトリストに関する詳細な議論は、以下で参照できます。 OpenID を使用したソーシャル ホワイトリスト.
他のヒント
あなたの質問に対する短い答えは、「そうではない」です。 OpenIDは、集中認証サイトを持つためのメカニズムのみを意図的に提供します。どの OpenID プロバイダーが個人的に受け入れられると考えるかは、あなた次第です。たとえば、マイクロソフト 最近、Healthvault サイトで選ばれた少数のプロバイダーのみの OpenID を許可することを決定しました. 。企業は LDAP をサポートするアクセス ポイントからの OpenID ログインのみを許可することを決定する場合があります。政府機関は生体認証をサポートするサイトからの OpenID のみを受け入れる場合があります。また、ブログはスパムの厳重な審査により TypePad のみを受け入れる場合があります。
OpenID に関しては多くの混乱があるようです。その当初の目的は、単に標準のログイン メカニズムを提供して、安全なログイン メカニズムが必要なときに、それを処理する任意またはすべての OpenID プロバイダーを選択できるようにすることでした。どこにいても誰でも自分の信頼できる OpenID を設定できるようにする プロバイダー 決して目標ではなかった。2 番目を効果的に行うことは不可能です。結局のところ、暗号化を使用したとしても、安全に嘘をつき、誰でも認証していると偽ることができる独自のプロバイダーを設定できない理由はありません。単一の標準化されたログイン メカニズムを持つこと自体が、すでに大きな前進です。
OpenId は、ユーザーがサイトに登録するときに選択するユーザー名とパスワード以上のものではありません。ボットを排除するために OpenId フレームワークに依存する必要はありません。登録システムはまだそれを行っているはずです。
考えられる解決策 - 新しい ID に CAPTCHA テストに合格するよう求めることができます。ボットが偽の/複数の電子メール アドレスを使用して任意のサイトにサインアップできるのと同様に、そこでも「検証」ステップに失敗します。
それとも、プロバイダーのブラックリストの保守を開始する必要があるのでしょうか?新しいプロバイダーのセットアップが非常に簡単であることを考えると、これらはあまりうまく機能しません。
私の知る限り、OpenID は認証ではなく識別のみに対応しています。ボットの停止は承認の問題です。
従来の「サイトごと」のログインとは異なり、OpenID は個々のサイトを超えた ID を提供する可能性があることに注意してください。さらに良いことに、この ID は URI ですので、RDF で使用して ID に関する任意のメタデータを交換またはクエリするのに最適です。
OpenID を使用すると、新規ユーザーの従来のユーザー名では実行できないいくつかのことが実行できます。
まず、いくつかの簡単なホワイトリスト操作を実行できます。*.bigcorp.example が Big Corp の従業員からの OpenID であり、Big Corp がスパマーではないことがわかっている場合は、それらの OpenID をホワイトリストに登録できます。これは、現在および元従業員のためのソーシャル サイトなど、半閉鎖的なサイトにはうまく機能するはずです。
ただし、特定の OpenID が使用されている他の場所から推測することもできます。Stackoverflow.com からの OpenID とレピュテーション値のマップがあるとします。誰かが OpenID を持って Web フォーラムに現れた場合、その人が Stackoverflow で適切な評判を得ているかどうかを確認し、そのユーザーに対する CAPTCHA や試用期間をスキップできます。
