OpenID 的问题是,任何人都可以建立一个看起来像 yahoo/google 的表单,并在那里引导用户并设置密码。这会影响我作为用户(尽管我可以小心),但它会影响 OpenID 提供者。可以做些什么来防止这种情况发生?除了教育用户查看 URL 和所有这些。我的意思是一种防止这种情况的技术方法。
【问题讨论】:
标签: security web-applications login openid
我一直喜欢的一个想法(不仅因为这是我的想法)是,您可以通过永远不允许用户拥有自己的密码来解决这个问题。该策略是,为了登录,用户访问他们想要登录的网站,并请求一个身份验证令牌。然后令牌会通过电子邮件发送给他们,并在一段时间内有效,他们只需单击链接即可登录。
但是,这种方法的明显问题是:您的电子邮件无法做到这一点。所以,它稍微改变了问题。但是,如果您通过客户端证书方法向您的电子邮件提供商或任何人进行身份验证:http://en.wikipedia.org/wiki/Mutual_authentication,并考虑其他一些事情(即确保登录链接详细信息的传输不被拦截,等),这至少是“有趣”的思考。
但是,一般来说,解决您的问题的方法是:验证交易双方;即,在发送您关心的任何内容之前,确保您正在与之交谈的网站是您想要的网站。
【讨论】:
我不喜欢 openID 身份验证协议,但 SSL(是要走的路,它)使网站值得信赖,并且浏览器应该真正开始拥有类似的网站列表,如 google、yahoo、youtube、facebook 等使用该技术并拒绝在未获得适当证书的情况下打开网站。
这是一个稍微超出您问题范围的解决方案,但也解决了它。因为考虑一下……如果 StackOverflow 开始使用 SSL,为什么浏览器应该允许连接到它而不首先获得正确的证书?有道理吗?
一项技术,解决所有问题。
【讨论】:
这个问题被称为Trusted Path,很少有好的解决方案。不过,该维基百科文章中链接的 Ka-Ping Yee 的论文对它进行了很好的处理。
【讨论】:
这基本上归结为网络钓鱼攻击。从技术角度来看,这不是可以轻易阻止的事情,除非所有涉及的身份验证方之间达成相互协议。一些银行现在显示用户选择的图像。实际上,银行试图证明他们是那家实际的银行(因为他们知道您在注册期间选择了什么图像)并且用户正在向银行提供密码以表明他们有权访问该帐户。
【讨论】: