【问题标题】:OpenID a lucrative target for spammers?OpenID 是垃圾邮件发送者的有利目标?
【发布时间】:2009-03-30 08:54:42
【问题描述】:

由于 OpenID 的性质,它不是垃圾邮件发送者的有利目标吗?对于初学者,您可以在任何网站上创建一个 OpenID 帐户并在任何其他网站上使用它,这意味着如果论坛假设登录的用户是可以信任的,我可以登录到一个论坛并写几千个帖子。

您是否同意 OpenID 对垃圾邮件发送者有利可图? OpenID 预计会受到冲击吗?

【问题讨论】:

    标签: security openid spam-prevention


    【解决方案1】:

    是的,这是个问题。不,这与 OpenID 无关。

    OpenID 旨在成为基于电子邮件登录的用户友好型替代品。它只是为解决基于电子邮件的登录的可用性问题而设计的,而不是为解决基于电子邮件的登录的任何安全问题而设计的。

    如果存在流氓 OpenID 提供商,允许用户随意创建帐户,而不检查他们的身份,那么这就是一个问题。然而,今天同样的问题也存在于电子邮件登录中:如果电子邮件提供商允许您在不证明身份的情况下创建电子邮件帐户,那么您可以使用该电子邮件地址登录任何论坛。

    但是,对于电子邮件案例,这个问题很久以前就已经解决了:只允许使用来自可信赖提供商的电子邮件地址登录。对于 OpenID 也可以这样做:只接受由可信赖的提供商发布的 OpenID。如果有人用http://John.Doe.VeriSign.Com/ 登录,你让他们进来,如果有人试图用http://Any.Nymous.Evil-4aX0rZ.ru/ 登录,你拒绝他们。

    【讨论】:

    • “仅允许使用来自可信赖提供商的电子邮件地址登录”。这是引入巨大进入壁垒的好方法。无论如何,如果您不能信任 yahoo 和 google 之类的公司,因为它们让太多垃圾邮件发送者注册帐户,那么什么是“值得信赖的”提供商?
    • @Frank:谁说谷歌和雅虎不可信?
    • @musicfreak,也许弗兰克指的是主流电子邮件提供商被列入黑名单的(写得不好的)网页上的一些普遍做法。我猜他们希望每个人都使用他们的 ISP 提供的电子邮件?无论如何,OpenID 提供者远没有那么普遍。似乎人们更有可能选择谷歌或雅虎等知名公司的主流 OpenID 提供商。它不像电子邮件那样有 600000 个不同的提供商。
    【解决方案2】:

    这可能会发生,但我没听说过。

    无论如何,OpenID 并不是为了防止垃圾邮件,但也不能阻止它。除了通过 OpenID 登录之外,网站始终可以使用验证码。

    【讨论】:

      【解决方案3】:

      实际上,我认为 OpenID 有很大的潜力击败垃圾邮件发送者。一方面,在不同网站上拥有不同身份的要求意味着真实用户没有机会发展任何类型的声誉或信誉。

      通过使用 OpenID,第三方可以协作和汇总信誉信息。例如,如果我使用 OpenID 帐户 5 年没有收到垃圾邮件投诉,那么,无论出于何种意图和目的,我都是一个优秀的用户并且值得信赖。

      新的 OpenID 登录可能会受到更严格的审查,可能还有更多的规则,例如不能发布超链接,或者是否存在垃圾关键字。

      【讨论】:

        【解决方案4】:

        我认为它确实让我们说技术垃圾邮件发送者更容易,他们手动执行操作。如果有人想向 30 个论坛发送垃圾邮件,那就是 30 个完整注册,这需要时间,使用 open id 是在 yahoo、google 等处进行一次完整注册,然后在接受 open id 的论坛上进行 30 个部分(或根本没有)注册。

        【讨论】:

          猜你喜欢
          • 1970-01-01
          • 2011-06-04
          • 2012-03-06
          • 1970-01-01
          • 2010-10-08
          • 2012-08-17
          • 2011-08-12
          • 1970-01-01
          • 2014-12-11
          相关资源
          最近更新 更多