provedores OpenID - o que impede os fornecedores maliciosos?
https://stackoverflow.com/questions/86090
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Então, eu gosto da idéia OpenID. Eu apoiá-lo no meu site, e usá-lo sempre que é possível (como aqui!). Mas eu não sou claro sobre uma coisa.
Um site que suporta OpenID basicamente aceita qualquer provedor de OpenID lá fora, certo? Como é que isso funciona com sites que querem reduzir o bot-inscrições? O que impede um provedor de OpenID malicioso de criação de IDs bot ilimitadas automaticamente?
Eu tenho algumas idéias, e vai publicá-las como uma possível resposta, mas eu queria saber se alguém pode ver algo óbvio que eu perdi?
Solução
Você confundiu duas coisas diferentes - a identificação e autorização. Só porque você sabe que alguém é, isso não significa que você tem que dar automaticamente-lhes permissão para fazer qualquer coisa. Simon Willison cobre este muito bem no Um OpenID não é uma conta! mais discussão sobre whitelisting é disponível em whitelisting social com OpenID .
Outras dicas
A resposta curta para sua pergunta é, "Não." OpenID deliberadamente fornece apenas um mecanismo para ter um local de autenticação centralizada; cabe a você decidir qual provedores de OpenID que você, pessoalmente, considero aceitável. Por exemplo, Microsoft recentemente decidiu permitir OpenID em seu site Healthvault apenas a partir de um select poucos fornecedores . Uma empresa pode decidir apenas para permitir logins OpenID do seu ponto de acesso lastreados em LDAP, uma agência do governo pode aceitar apenas OpenIDs de sites biometria-suportado, e um blog só poderia aceitar TypePad, devido à sua intensa habilitação spam.
Parece haver muita confusão sobre o OpenID. Seu objetivo original era simplesmente para proporcionar um mecanismo de login padrão de modo que, quando eu preciso de um mecanismo de login seguro, posso escolher entre qualquer um ou todos os prestadores de OpenID para lidar com isso para mim. Permitindo que qualquer pessoa em qualquer lugar para criar a sua própria confiança OpenID provedor nunca foi o objetivo. Fazendo o segundo efetivamente é impossível, afinal, mesmo com criptografia, não há nenhuma razão você não pode configurar seu próprio provedor de mentir de forma segura e dizer que está autenticando quem você quiser. Ter um único mecanismo de login, padronizado já seja um grande passo em frente.
OpenId não é muito mais do que o nome de usuário e senha que um usuário seleciona quando se inscrever para o seu site. Você não contar com o quadro OpenID para eliminar bots; o seu sistema de registro ainda deve estar fazendo isso.
Possível solução - você ainda pode pedir novas IDs de passar por um teste de CAPTCHA. Assim como bots podem se inscrever com falsas / vários endereços de email para qualquer site, mas não o passo "verificação" lá também.
Ou vamos ter que começar a manter listas negras provedor? Aqueles realmente não vai funcionar muito bem, dada a forma como trivialmente fácil é criar um novo provedor.
Tanto quanto eu posso dizer, endereços OpenID única de identificação, não a autorização. Parar bots é uma questão de autorização.
Observe que ao contrário "por site" logins convencionais, OpenID lhe dá uma identidade que potencialmente transcende sites individuais. Melhor ainda, esta identidade é ainda um URI pelo que a sua perfeita para usar com RDF para troca ou consulta de metadados arbitrária sobre a identidade.
Você pode fazer algumas coisas com um OpenID que você não pode fazer com um nome de usuário convencional de um novo usuário.
Em primeiro lugar você pode fazer algumas simples whitelist operações. Se .bigcorp.example * são OpenIDs de funcionários Big Corp e você sabe Big Corp não são spammers, então você pode whitelist essas OpenIDs. Isso deve funcionar bem para sites que são semi-fechado, talvez seja um site social para os empregados atuais e do passado.
Melhor, porém, você pode fazer inferências a partir de outros lugares que específica OpenID foi usado. Suponha que você tenha um mapa de OpenIDs aos valores de reputação de Stackoverflow.com. Quando alguém mostra-se em seu fórum web com um OpenID, você pode ver se eles têm reputação decente em Stackoverflow e ignorar o CAPTCHA ou período de estágio para esses usuários.
