¿No es openid con http un problema?

21

Muchos sitios habilitados para openid están predeterminados para los identificadores http, incluso si el proveedor de openid admite https (como myopenid.com).

¿Esto representa una amenaza al lado de la identidad que se expone? El segundo paso de la autenticación openid incluye una verificación de la firma proporcionada por el proveedor de identidad. ¿Pero no podría un proveedor de identidad en bruto simplemente firmar algo? Quiero decir, ¿hay un paso en el protocolo openid que verifique que el proveedor es válido para el openid ingresado?

Editar: Esta pregunta es sobre consumidores como Stack Exchange, no proveedores de identidad. Stack Exchange solo usa https para Google y http sin cifrar para todos los demás proveedores de OpenID. Sé que myopenid.com admite https, pero Stack Exchange no lo usa. Lo mismo es cierto para otros lados, incluso aquellos que usualmente toman la seguridad más seriamente que Stack Exchange, e. sol. Fuente Forge.

    
pregunta Hendrik Brummermann 12.12.2010 - 00:13
fuente

3 respuestas

10

En general, hay varios problemas de seguridad con OpenID, pero también muchos escenarios diferentes para su uso. Por lo tanto, dependiendo del modelo de amenaza, puede o no querer confiar en él, y los usuarios pueden o no querer usarlo para la autenticación.

Como observa, la posible exposición de sus credenciales es un problema, por ejemplo. si elige un proveedor de OpenID que se autentique con contraseñas y no requiera https. Eso se aplica a cualquier sitio que solicite una contraseña a través de una conexión que no sea https. Pero tenga en cuenta que los proveedores de identidad no solo pueden usar https, sino que también pueden autenticarse a través de tokens de hardware más seguros o contraseñas de un solo uso.

Los problemas con la suplantación de identidad (phishing) son particularmente difíciles cuando el usuario no utiliza correctamente una interfaz de usuario cuidadosamente diseñada para la autenticación, lo que llevó al desarrollo del componente del cliente en CardSpace.

OpenID 2.0 es un poco mejor que 1.0, pero persisten problemas como la privacidad y la confianza. Las alternativas incluyen SAML (por ejemplo, a través de Shibboleth) y CardSpace.

Aquí hay algunos enlaces para más información:

Si desea una respuesta específica a las políticas de Stack Exchange, pregunte en enlace

    
respondido por el nealmcb 12.12.2010 - 21:17
fuente
2

La mayor preocupación para OpenID desde mi perspectiva es la misma que para las soluciones de inicio de sesión único, que son los ataques XSS, ya que el atacante puede robar sus credenciales y, como deberían ser utilizadas ampliamente, el impacto es bastante brutal

    
respondido por el Phoenician-Eagle 14.12.2010 - 14:57
fuente
1

Si está preocupado por la seguridad, siempre puede visitar enlace y unirse a las discusiones sobre medidas de seguridad.

En cuanto a tu pregunta, los ataques de MiTM podrían ser un problema si te encuentras en un punto de acceso público.

Si no confías en tu proveedor de identidad, no uses su servicio. Actualmente estoy usando myopenid y confío en que sea suficiente para varias de mis autorizaciones. En cuanto a un proveedor de OpenID en bruto que se encuentra con otra red, no es posible. El sitio que usted registra en las tiendas de su identificación completa. Por lo tanto, si intentas que X.myopenid se autentique como alguien registrado con X.blogspot, simplemente crearías una nueva cuenta.

    
respondido por el Fabián Heredia Montiel 12.12.2010 - 16:21
fuente

Lea otras preguntas en las etiquetas