【发布时间】:2009-03-30 08:54:42
【问题描述】:
由于 OpenID 的性质,它不是垃圾邮件发送者的有利目标吗?对于初学者,您可以在任何网站上创建一个 OpenID 帐户并在任何其他网站上使用它,这意味着如果论坛假设登录的用户是可以信任的,我可以登录到一个论坛并写几千个帖子。
您是否同意 OpenID 对垃圾邮件发送者有利可图? OpenID 预计会受到冲击吗?
【问题讨论】:
标签: security openid spam-prevention
由于 OpenID 的性质,它不是垃圾邮件发送者的有利目标吗?对于初学者,您可以在任何网站上创建一个 OpenID 帐户并在任何其他网站上使用它,这意味着如果论坛假设登录的用户是可以信任的,我可以登录到一个论坛并写几千个帖子。
您是否同意 OpenID 对垃圾邮件发送者有利可图? OpenID 预计会受到冲击吗?
【问题讨论】:
标签: security openid spam-prevention
是的,这是个问题。不,这与 OpenID 无关。
OpenID 旨在成为基于电子邮件登录的用户友好型替代品。它只是为解决基于电子邮件的登录的可用性问题而设计的,而不是为解决基于电子邮件的登录的任何安全问题而设计的。
如果存在流氓 OpenID 提供商,允许用户随意创建帐户,而不检查他们的身份,那么这就是一个问题。然而,今天同样的问题也存在于电子邮件登录中:如果电子邮件提供商允许您在不证明身份的情况下创建电子邮件帐户,那么您可以使用该电子邮件地址登录任何论坛。
但是,对于电子邮件案例,这个问题很久以前就已经解决了:只允许使用来自可信赖提供商的电子邮件地址登录。对于 OpenID 也可以这样做:只接受由可信赖的提供商发布的 OpenID。如果有人用http://John.Doe.VeriSign.Com/ 登录,你让他们进来,如果有人试图用http://Any.Nymous.Evil-4aX0rZ.ru/ 登录,你拒绝他们。
【讨论】:
这可能会发生,但我没听说过。
无论如何,OpenID 并不是为了防止垃圾邮件,但也不能阻止它。除了通过 OpenID 登录之外,网站始终可以使用验证码。
【讨论】:
实际上,我认为 OpenID 有很大的潜力击败垃圾邮件发送者。一方面,在不同网站上拥有不同身份的要求意味着真实用户没有机会发展任何类型的声誉或信誉。
通过使用 OpenID,第三方可以协作和汇总信誉信息。例如,如果我使用 OpenID 帐户 5 年没有收到垃圾邮件投诉,那么,无论出于何种意图和目的,我都是一个优秀的用户并且值得信赖。
新的 OpenID 登录可能会受到更严格的审查,可能还有更多的规则,例如不能发布超链接,或者是否存在垃圾关键字。
【讨论】:
我认为它确实让我们说技术垃圾邮件发送者更容易,他们手动执行操作。如果有人想向 30 个论坛发送垃圾邮件,那就是 30 个完整注册,这需要时间,使用 open id 是在 yahoo、google 等处进行一次完整注册,然后在接受 open id 的论坛上进行 30 个部分(或根本没有)注册。
【讨论】: