OpenID 공급자 - 악성 공급자를 막는 방법은 무엇입니까?

Question

그래서 저는 OpenID 아이디어를 좋아합니다.나는 내 사이트에서 이를 지원하고 가능한 모든 곳에서 사용합니다(여기처럼!).그러나 나는 한 가지에 대해 명확하지 않습니다.

OpenID를 지원하는 사이트는 기본적으로 모든 OpenID 제공업체를 허용합니다. 그렇죠?봇 가입을 줄이려는 사이트에서는 어떻게 작동합니까?악의적인 OpenID 제공업체가 자동으로 무제한 봇 ID를 설정하는 것을 막으려면 어떻게 해야 합니까?

몇 가지 아이디어가 있고 가능한 답변으로 게시할 예정이지만, 제가 놓친 명백한 내용을 누구든지 볼 수 있는지 궁금합니다.

Answer 1

식별과 승인이라는 두 가지 다른 사항을 혼동하셨습니다.누군가가 누구인지 안다고 해서 자동으로 그 사람에게 모든 작업을 수행할 수 있는 권한을 부여해야 한다는 의미는 아닙니다.사이먼 윌리슨(Simon Willison)이 이 내용을 훌륭하게 다루고 있습니다. OpenID는 계정이 아닙니다! 화이트리스트에 대한 자세한 내용은 다음에서 확인할 수 있습니다. OpenID를 사용한 소셜 화이트리스트.

Answer 2

귀하의 질문에 대한 짧은 대답은 "그렇지 않습니다."입니다. OpenID는 의도적으로 중앙 인증 사이트를 갖는 메커니즘 만 제공합니다.개인적으로 수용 가능한 OpenID 제공업체를 결정하는 것은 귀하에게 달려 있습니다.예를 들어, 마이크로소프트 최근 일부 일부 제공업체의 Healthvault 사이트에서만 OpenID를 허용하기로 결정했습니다..회사는 LDAP 지원 액세스 포인트에서만 OpenID 로그인을 허용하기로 결정할 수 있고, 정부 기관은 생체 인식 지원 사이트의 OpenID만 허용할 수 있으며, 블로그는 강력한 스팸 검사로 인해 TypePad만 허용할 수 있습니다.

OpenID에 대해 많은 혼란이 있는 것 같습니다.원래 목표는 단순히 표준 로그인 메커니즘을 제공하여 보안 로그인 메커니즘이 필요할 때 이를 처리할 OpenID 공급자 중 일부 또는 전체를 선택할 수 있도록 하는 것이었습니다.어디서나 누구나 신뢰할 수 있는 OpenID를 설정할 수 있도록 허용 공급자 결코 목표가 아니었습니다.두 번째 방법을 효과적으로 수행하는 것은 불가능합니다. 암호화를 사용하더라도 안전하게 거짓말을 하고 원하는 사람을 인증하도록 자신의 공급자를 설정하지 못할 이유가 없습니다.표준화된 단일 로그인 메커니즘을 갖는 것 자체가 이미 큰 발전입니다.

Answer 3

OpenId는 사용자가 사이트에 등록할 때 선택하는 사용자 이름과 비밀번호에 지나지 않습니다.봇을 제거하기 위해 OpenId 프레임워크에 의존하지 않습니다.귀하의 등록 시스템은 여전히 ​​그 일을 하고 있을 것입니다.

Answer 4

가능한 해결 방법 - 새 ID에 CAPTCHA 테스트를 통과하도록 요청할 수 있습니다.봇이 가짜/여러 이메일 주소를 사용하여 모든 사이트에 가입할 수 있지만 "확인" 단계에서도 실패하는 것과 같습니다.

아니면 공급자 블랙리스트를 유지 관리해야 합니까?새로운 공급자를 설정하는 것이 얼마나 쉬운지를 고려하면 실제로는 잘 작동하지 않습니다.

Answer 5

내가 아는 한 OpenID는 인증이 아닌 식별만 다루고 있습니다.봇을 중지하는 것은 승인의 문제입니다.

Answer 6

기존의 "사이트별" 로그인과 달리 OpenID는 잠재적으로 개별 사이트를 초월하는 ID를 제공합니다.더 좋은 점은 이 ID가 URI이기 때문에 RDF와 함께 사용하여 ID에 대한 임의의 메타데이터를 교환하거나 쿼리하는 데 적합하다는 점입니다.

새로운 사용자의 기존 사용자 이름으로는 수행할 수 없는 몇 가지 작업을 OpenID로 수행할 수 있습니다.

먼저 몇 가지 간단한 화이트리스트 작업을 수행할 수 있습니다.*.bigcorp.example이 Big Corp 직원의 OpenID이고 Big Corp가 스패머가 아니라는 것을 알고 있는 경우 해당 OpenID를 화이트리스트에 추가할 수 있습니다.이는 반 폐쇄된 사이트, 현재 및 과거 직원을 위한 소셜 사이트에 적합할 것입니다.

하지만 더 나은 점은 특정 OpenID가 사용된 다른 위치에서 추론할 수 있다는 것입니다.Stackoverflow.com의 평판 값에 대한 OpenID 매핑이 있다고 가정해 보겠습니다.누군가 OpenID를 사용하여 웹 포럼에 나타나면 Stackoverflow에서 괜찮은 평판을 갖고 있는지 확인하고 해당 사용자에 대한 CAPTCHA 또는 수습 기간을 건너뛸 수 있습니다.