OpenIDの改良と機密データが関与する場所を信頼できますか？

Question

OpenIDを管理およびコントロールパネルの領域に直面している顧客に追加することを検討しています...

1-OpenIDを既存のアカウントに関連付ける

既にアカウントを持っているお客様の場合、発行した既存のアカウント番号を使用してログインする必要があると考えており、アカウント管理エリアでそのアカウントにOpenIDを関連付けるメカニズムがあります（引数のために「OpenID Manager」と呼びます）。

「OpenID Manager」で、ユーザーがすでにOpenIDを持っていると仮定して、OpenIDに対してユーザーを認証し、将来のOpenIDログイン用に生成されたアカウント番号に関連付けますか？

2-機密データ

完全なクレジットカードデータをDBに保存するわけではありませんが、機密性の高い他のデータ、請求書、ドメイン登録の詳細などがあります。この記事を読んだ後、 http://idcorner.org/2007/08/22/the-problems-with-openid/ 私はこの方法でOpenIDを使用するという考え方には少し注意が必要ですが、皆さんとの一般的なコンセンサスは何ですか？

Answer 1

OpenIDに対する多くの議論は、無知から、または粉砕するxを持つ人々によって行われているようです。

たとえば、リンク先のドキュメントでは、URIで自分自身を特定することは「人間性を失わせ、少々恐ろしい」と訴えています。それは正当な苦情ですか、それとも誰かが苦情を申し立てたいものを見つけるために必死に書かれたものですか？

提起される2つの主要なことは、フィッシングと侵害されたアカウントであり、これらの議論は何度も再ハッシュされてきました。

フィッシング対策はプロバイダーによって異なります。一部のプロバイダーは、一般的なWebサイトよりもはるかに優れたセキュリティを提供します。一部のプロバイダーは、一般的なユーザー名とパスワードを提供するだけです。いずれにせよ、アカウントが侵害された場合、それはユーザーとそのプロバイダーの間の何かであり、それはあなたの懸念ではありません。エンドユーザーのコンピューターにキーロガーがインストールされていることを心配する必要はありませんか？それは、彼らのアカウントへのアクセスを得るために使用されるかもしれないが、彼らのローカルセキュリティはあなたの責任ではないからです。 OpenIDでも同様です-そのセキュリティはあなたの責任ではありません。

OpenIDを侵害すると、複数のWebサイトにアクセスできます。確かに、電子メールについても同じことが言えます。パスワードを忘れたと言うと、新しいパスワードが送信されます。これで、そのメールアドレスで登録したすべてのアカウントにアクセスできます。

OpenIDは現状より悪くはありません。多くの状況、特に情報に詳しいユーザーにとっては、はるかに優れています。まだそれを警戒している場合は、オプションにするだけで、知識のあるユーザーのみが使用します。

Answer 2

特定のアカウントでの複数 OpenIDの登録を許可します。これは、ユーザーが必要に応じてOpenID間で移行できるようにするための優れた機能です。

---

それは言ったが、idcornerリンクは良い点を上げている。彼はセキュリティの問題を大々的に吹き飛ばし、OpenIDプロバイダーがどのように機能するかについて多くのばかげた仮定をしていると思いますが、そのOpenIDは実際にはすべての形式のユーザー認証に取って代わるものではありません。 「ドライブバイ」を簡単に行えるように設計されています。ユーザーが何らかの形式の基本認証でサイトと対話する。

• 誰かのブログに行ったことがあり、コメントを投稿したいのですが、最初に3ページの登録を行う必要がありますか？ OpenIDはその問題を解決します。
• 公開トラッカーに簡単なバグレポートを投稿したいが、最初にアカウントが必要ですか？ OpenIDが助けになります。
• 機密の機密データをWebアクセス可能な方法で保存し、信頼できる人にのみアクセスを提供したいですか？ OpenIDはソリューションではありません 。