¿Por qué se considera que Facebook, etc., son servidores de autorización típicos en OpenId?

Navega tus respuestas
1

La especificación OAuth2 dice:

  

La interacción entre el servidor de autorización y el servidor de recursos   Está más allá del alcance de esta especificación. El servidor de autorizaciones   puede ser el mismo servidor que el servidor de recursos o una entidad separada.

Creo que esto significa que el servidor de autorizaciones es como un hermano mayor de confianza aquí, que puede fácilmente, pero sin embargo, obtener acceso a datos que normalmente deberían estar restringidos a usuarios legítimos. Si ese es el caso, ¿por qué Facebook, etc. se consideran servidores de autorización típicos? ¿Por qué deberían ser tan confiados? Puede que me haya perdido algo básico aquí. Entonces, muestro mi ignorancia con la esperanza de ser menos ignorante.

    
pregunta Dominic108 21.12.2015 - 22:38
fuente

2 respuestas

1
  

¿Por qué debería [Facebook y otras grandes empresas] obtener el estado de partes confiables?

Cualquiera puede ser una parte confiable simplemente confiando en ellos para proporcionar la autorización de la cuenta. Para estas grandes empresas, son servidores de autorización comunes porque son simples y en general el mundo confía en ellos para mantener la seguridad sobre las cuentas. Un empleado o atacante que se sale de los límites con acceso a los controles de cuenta en una de esas compañías puede iniciar sesión como cualquier persona.

Juntos, Facebook y Google tienen algunas de las colecciones de cuentas de usuarios más grandes del mundo con equipos de seguridad sólidos. La mayoría de sus usuarios tendrán una cuenta con al menos una de estas compañías. Si desea simplificar la sobrecarga de configurar un sistema de autenticación y también facilitar a los usuarios el uso de su servicio sin tener que pasar por un flujo de registro, eso es todo.

    
respondido por el Jeff Ferland 21.12.2015 - 22:45
fuente
1

Las grandes empresas como Google y Facebook tienen una reputación que perder.

Teniendo en cuenta su escala de operación, no hay mucho que ganar al entrar en la cuenta de algún usuario en otro sitio web. Pero si lo hicieran y fueran atrapados, sería un escándalo que perjudicaría gravemente su reputación y haría que sus usuarios cuestionaran su fiabilidad.

La gente ya confía bastante en compañías como Facebook y Google. La mayoría de los usuarios de sus servicios ya saben que estas empresas explotan los datos de cada clic que hacen. Y son conscientes de que estas empresas saben más acerca de ellas que de sí mismas. Y estos usuarios están perfectamente de acuerdo, ya que confían en que estas compañías solo utilicen ese conocimiento para la recomendación de contenido y la orientación de anuncios, no para destruir su vida. Si ya confían en ellos, confiar en ellos como proveedor de autorización para otro servicio no es un gran paso.

Personalmente nunca uso OpenID con un proveedor de autenticación que no esté afiliado al sitio web en el que estoy iniciando sesión. No solo porque no confío en la mayoría de los sitios web que se usan con frecuencia como proveedores de autenticación, sino también porque el sitio web en el que me conecto no necesita saber si y qué identidades tengo en otros sitios web. Pero soy consciente de que mi nivel de privacidad es más alto que el de la mayoría de las personas.

    
respondido por el Philipp 22.12.2015 - 04:19
fuente

Lea otras preguntas en las etiquetas

Inyección de SQL ciego: ¿Se puede ejecutar una cadena hexadecimal como parte de la consulta? ¿Los cifrados seguros rompen los certificados de varios dominios?