¿A quién se emite la URL especial de OpenID Connect "self-issued.me" y es un riesgo?

Navega tus respuestas
1

OpenID Connect define un caso de uso especial para self-issued.me y es registrado en el extranjero a lo que asumo es un nombre ficticio.

¿Cuál es el riesgo de que alguien sea propietario de este dominio w.r.t. OpenID Connect? 

self-issued.me
Domain Name: SELF-ISSUED.ME
Registry Domain ID: D108500000002096888-AGRS
Registrar WHOIS Server:
Registrar URL: http://www.tucows.com
Updated Date: 2016-06-26T04:02:26Z
Creation Date: 2011-07-25T15:57:46Z
Registry Expiry Date: 2017-07-25T15:57:46Z
Registrar: Tucows Domains Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: ok https://icann.org/epp#ok
Registry Registrant ID: tuzK33SBHcrUhtLa
Registrant Name: John Bradley
Registrant Organization:
Registrant Street: Casilla 177
Registrant Street: Sucursal Talagante
Registrant City: Talagante
Registrant State/Province: Santiago RM
Registrant Postal Code: 9670447
Registrant Country: CL
Registrant Phone: +56.28559161
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID: tubOb46ov59QzL0V
Admin Name: John Bradley
Admin Organization:
Admin Street: Casilla 177
Admin Street: Sucursal Talagante
Admin City: Talagante
Admin State/Province: Santiago RM
Admin Postal Code: 9670447
Admin Country: CL
Admin Phone: +56.28559161
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: [email protected]
Registry Tech ID: tuXVh6iHDxmY8Tcn
Tech Name: John Bradley
Tech Organization:
Tech Street: Casilla 177
Tech Street: Sucursal Talagante
Tech City: Talagante
Tech State/Province: Santiago RM
Tech Postal Code: 9670447
Tech Country: CL
Tech Phone: +56.28559161
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: [email protected]
Name Server: NS1.SYSTEMDNS.COM
Name Server: NS2.SYSTEMDNS.COM
Name Server: NS3.SYSTEMDNS.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2017-02-07T21:08:10Z
    
pregunta random65537 07.02.2017 - 22:12
fuente

1 respuesta

1

Según enlace , John Bradley es el Tesorero de la Fundación OpenID.

  

John Bradley

     

Tesorero

     

Identidad de ping

     

Sr. Bradley es un experto en materia de gestión de identidades y profesional de TI con una formación diversa. El Sr. Bradley tiene más de 15 años de experiencia en el campo de la tecnología de la información y la gestión de identidades. El Sr. Bradley asesora a agencias gubernamentales y organizaciones comerciales sobre la política y los requisitos técnicos de las soluciones de gestión de identidades, identidades federadas, PKI y tarjetas inteligentes. El Sr. Bradley se comunica eficazmente con clientes, proveedores, personal y organizaciones de estándares para informarles sobre conceptos de administración de identidad complejos, mejores prácticas y requisitos técnicos. También es presidente del WG de interoperabilidad de la federación en Kantara. Es tesorero de la OpenID Foundation, miembro del consejo asesor de OIX, y colaborador activo de SAML y otras especificaciones de OASIS en OASIS. . El Sr. Bradley es uno de los líderes de OSIS y de la Junta de Revisión de Interoperabilidad de Kantara, foros que utilizan los proveedores para las pruebas de interoperabilidad de la industria y, por lo tanto, tiene un conocimiento profundo no solo de los factores que contribuyen al éxito, sino también de las tendencias futuras. influye en si la planificación estratégica garantizará una eficacia óptima para la operabilidad futura. Recientemente, John ha sido coautor de los perfiles de protocolo de ICAM en Protiviti Government Services en nombre de GSA y continúa apoyando el Laboratorio de Interoperabilidad de FICAM. Los proyectos actuales incluyen la co-autoría de la próxima versión de la especificación de openID y los estándares relacionados.

También ve el nombre de John como uno de los autores del estándar de OpenID .

Hay una página de LinkedIn que indica que John Bradley's vive en Chile (CL).

Por lo tanto, el nombre no parece ser ficticio. Sin embargo, si un tercero que pretende ser John falsifica los detalles de registro, es probable que sea difícil decirlo a menos que se comunique con John directamente. Sin embargo, la dirección de correo electrónico utilizada en el registro ([email protected]) coincide con la dirección de correo electrónico utilizada por John en sus trabajos de OpenID, como se menciona en enlace , y muchas de sus correspondencias de correo electrónico en listas de correo públicas.

En términos de seguridad, cualquier buena implementación de OpenID no debe confiar en emisores no reconocidos, y la identidad autoemitida y https://self-issued.me deben considerarse como emisores no reconocidos por defecto. Cualquiera puede ser un emisor de OpenID, no todos deben estar en la lista de emisores de confianza para sus aplicaciones. Un pícaro que tenga el control de https://self-issued.me no debería arriesgar la seguridad de las bibliotecas que no tiene el caso especial https://self-issued.me , siempre que la biblioteca no haya sido mal configurada para confiar en https://self-issued.me .

    
respondido por el Lie Ryan 08.02.2017 - 01:52
fuente

Lea otras preguntas en las etiquetas

La solicitud HTTP no se puede capturar desde wireshark [duplicar] Bloqueo de firewall de Windows de un .exe generado dinámicamente