BrowserID 安全吗?

【问题标题】:Is BrowserID secure?BrowserID 安全吗?
【发布时间】:2011-07-15 20:40:30
【问题描述】:

昨天,Mozilla announcedBrowserID authentication system,基于Verified Email Protocol。它看起来很漂亮,但它安全吗?

立即想到的一个问题是,似乎任何可以访问我的浏览器的人都可以以我的身份登录。这也是在浏览器中存储凭据的问题,除了我可以逐个站点做出决定。 BrowserID 是全有还是全无?

还有其他潜在的安全漏洞吗?

【问题讨论】:

  • 我猜在发送加密令牌之前,实际的实现会弹出一个请求允许进行 browserID 登录的弹出窗口。
  • @Marc B 对,但它应该是一个双击过程。如果我理解正确,您无需在该弹出窗口中输入凭据 - 您只需验证您是否要使用特定电子邮件地址登录特定目标站点。
  • Firefox 允许您使用主密码保护您的常规存储密码,该主密码用于保护用于加密您的密码的加密密钥。我原以为类似的东西也适用于 BrowserID。

标签: authentication browserid


【解决方案1】:

这不是您问题的直接答案,但“安全”堆栈交换站点中有线程,讨论大致相同

https://security.stackexchange.com/questions/5323/what-are-the-downsides-of-browserid-compared-to-openid-oauth-facebook

【讨论】:

    【解决方案2】:

    我最终找到了 DanielBrowserId/Persona and WebID 的第三次问答做出的贡献。我发现这个答案最有帮助。 (我试图说服他在这里发帖,但他建议我这样做。)

    Security, Privacy and Usability Requirements for Federated Identity Michael Hackett 和 Kirstie Hawkey 提供了 WebID 和 Mozilla Persona(当时仍称为 BrowserID)之间的比较。

    注意到的主要区别(在表 1 中)是:

    • 角色密钥是短暂的,应使用密码进行保护。 WebID 密钥的寿命很长,但可以很容易地从受密码保护的配置文件中禁用。
    • 当前的 Persona 实现使用标准浏览器窗口,因此很难发现欺骗(一旦浏览器获得本机 Persona 支持,这可能会改变)。 WebID 使用浏览器本机证书选择 UI,因此没有网络钓鱼的机会。
    • 如果失去对所有者电子邮件/URI 的控制权,则 Persona 和 WebID 身份都可能受到损害。
    • Persona IdP 不了解使用身份的 SP。 WebID IdP 了解每个使用身份的 SP。
    • 如果 Persona SP 缓存了 IdP 的公钥,并且浏览器仍然有有效的证书,那么它应该仍然可以验证身份。 WebID 配置文件必须是可访问的,否则身份将无法使用。
    • Persona 具有良好的 UX 设计,而 WebID 则相反。

    我建议阅读该论文以了解更多详细信息。它可在线免费获取,无需访问数字图书馆。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2013-02-03
      • 1970-01-01
      • 2010-11-20
      • 2019-12-07
      • 2016-03-06
      • 2010-09-26
      • 2018-04-09
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode