Existe perigo em provedores de OpenID falsos?

Eu estive pensando. Como alguém pode iniciar um provedor OpenID e como não existe uma autoridade central que aprove os provedores OpenID, por que os provedores OpenID falsos não se tornam um problema?

Por exemplo, um remetente de spam pode iniciar um provedor OpenID com um backdoor para se autenticar como qualquer outro usuário que foi enganado a se registrar em seu site. Isso é possível? A reputação do provedor é a única coisa que impede isso? Veremos as listas negras de provedores OpenID e os sites de revisão de provedores OpenID no futuro?

Provavelmente não entendo completamente nada sobre o OpenID. Por favor me esclareça :)

O OpenID NÃO é um protocolo intrinsecamente seguro - ele não tem o poder de forçar um provedor não autorizado a fornecer segurança, nem 'examina' cada provedor para garantir que ele seja seguro.

O OpenID é um mecanismo pelo qual você pode armazenar suas credenciais com um provedor confiável, e eles o verificarão para outras pessoas.

Se você escolher um provedor não confiável, ele poderá ver e usar tudo o que você pode usar para suas credenciais.

O OpenID não substitui a confiança.

-Adão

Seria praticamente o mesmo que ter um provedor de e-mail "falso", que seqüestraria os e-mails de confirmação dos usuários etc. Somente a reputação está impedindo isso. Por favor, registre-se em gmail.com ou hotmail.com, mas não em joesixpack.org.

Jeff tem um post muito bom (e longo) sobre este tópico. Se não responder às suas perguntas, certamente o esclarecerá. Os comentários também levam a artigos muito ilustrativos . Altamente recomendado.

Existem algumas perguntas semelhantes no stackoverflow.com que você pode achar interessante.

A única maneira de ver um servidor OpenID "não autorizado" sendo um problema não é tanto um problema de segurança de aplicativos da web. O que você está fazendo é fornecer um site com sua identidade. Eles dizem às pessoas que você é quem você é, mas também têm acesso a ele. Se uma pessoa mal-intencionada configurar um servidor OpenID e as pessoas começarem a usá-lo, o proprietário do serviço mal-intencionado poderá se passar por alguém usando seu servidor.

A questão é: você confia nos proprietários do seu servidor OpenID?

Meu problema com o OpenID em geral é que ele é novo e não há nenhum padrão (que eu já tenha ouvido falar em qualquer lugar) que defina o que torna um "bom" provedor de OpenID. Para dados de cartão de crédito, existem padrões PCI-DSS para gerenciar informações de cartão de crédito - mas não equivalentes para identidade.

Concedido, é uma nova tecnologia geralmente usada para aplicativos com requisitos mínimos de "confiança". Mas em sites como o ServerFault, acho que você precisa de um nível de confiança maior que o de um blog, mas menor que o de um banco ou corretor on-line.

Adicionando respostas anteriores. Ainda não sabemos sobre as listas negras do OpenID, mas existe uma iniciativa voluntária nas listas brancas do OpenID . Essa lista de permissões é uma tecnologia distribuída (como e-mail, DNS, HTTPS), não há um ponto único de falha, não há um ponto único de confiança. Você pode confiar na lista branca de alguns caras e ele pode fingir.

Há uma opinião de que essas listas de permissões devem ser estendidas para fornecer mais informações (não para ninguém, é claro), como atividade do usuário, número de postagens, número de avisos de moderadores etc. Como o OpenID é uma identidade global, isso ajudaria a quase instantaneamente espalhar informações como esse usuário é um spammer. O que forçaria os spammers a usar sempre um novo ID. Imagine que a reputação de 1000 no ServerFault torna você também um usuário confiável em milhares de outros sites.

Para aqueles que pensam que os consumidores OpenId devem permitir que qualquer provedor OpenId seja um autenticador, isso é apenas uma loucura. Digamos que você tenha uma lista de usuários autorizados com base em um email transmitido por provedores abertos. Uma pessoa não autorizada configura seu próprio serviço de provedor OpenId e conhece o email de um de seus usuários previamente autorizados. Essa pessoa desonesta poderia então se autenticar como seu usuário aceito.

Se você está tentando proteger com o openId, deve ter uma lista branca de fornecedores nos quais confia, caso contrário, estará praticamente aberto a qualquer pessoa que saiba configurar um serviço de provedor.