Ma arvan, et on mõttekas pakkuda registreerumist OpenIdi kaudu, kuid seda ei pea nõudma isegi poodide veebisaitide puhul.
Selle põhjuseks on see, et taiplikud kasutajad (endiselt openidi peamine kasutajabaas) saavad otsustada, kas võtate selle riski või mitte.

Saidid, mida ma OpenId kasutada ei soovitaks, on kas ülitundlikud saidid, nt. pangasaidid või era- / korporatiivsed süsteemid, kus soovite kontrollida ka kasutajate identiteete (ala ettevõttekeskne identiteet, mitte kasutajakeskne identiteet).

OpenId-i kasutamisel on selge eelis, kuna te ei pea haldama kasutajate identiteete, sealhulgas paroole, lähtestamist, turvalisust jms ning võtma endale sellega kaasneva riski.

Igal OpenID-pakkujal on turvafunktsioonide ja puuduste kompromiss. Näiteks:

Funktsioonid

• Google, Facebook, MyOpenID ja Verisign pakuvad kõik erineval määral kahefaktorilist tuge. (Verisign on kõige turvalisem IMHO)

• Nad kõik toetavad Javascripti tasuta toimimist (paranoilistel turvalisuse kasutajatel)

• Privaatsus ja täiustatud anonüümsus MyOpenIDi ja LiveID-ga (pole paljusid teisi)

• Parooli muutmise eeskirjad

• Sisselogimise pitser (Yahoo, ADFSv2)

Vead

• Paljud saidid ei paku sama HTTP-päise turvalisus nagu siin dokumenteeritud. See tähendab, et mõned saidid on MITMi, FireSheepi, märkide korduste või Clickjackingu suhtes haavatavamad kui teised saidid.

• Erinevate saitide vahel pole tegelikult ühtlust.

Ja see on alles algus. Mul on üksikasjalikum postitus koos paljude väärtuslike hüperlinkidega siin. Võrdlen seal kõigi suuremate OpenID-teenuse pakkujate turvaelemente ja palun kogukonnalt muid funktsioone või sisepakkujaid, mida peaksime kaaluma.

Kui avastate IDP-d, mille turvaelemente pole loetletud, siis teen julgustage kedagi sinna postitama.

Kas see sobib mis tahes tüüpi veebirakenduseks?

Ma ütleksin, et Verisign oleks usaldusväärsem nimi kõrgema turustsenaariumi korral, eeldades, et lõppkasutaja on valinud kõik kellad ja viled. Ma ei ole nende HTTP-päiste konfiguratsiooni fänn (korduslink). Lihtsalt veenduge, et teie usaldusväärne osapool (veebisait) kaitseks end RP-st ja eelmistest seanssidest uuesti mängitud küpsiste eest.

Kui kasutate tugineva osapoolena Windowsi / IIS-i, võin teile saata rohkem teavet kaitsta stsenaariumide eest, mida mainisin eelmises lõigus.

Lisauuringud

Microsoftil on siin üksikasjalik dokument OpenID turbeprobleemidest. Saatsin autoritele meilisõnumid ja nad andsid analüsaatori välja aadressil http://sso-analysis.org/. Analüüsi tööriist on saadaval siin: http://sso-analysis.org/aaas/brm -analyzer.html

Ma ei arva, et e-kaubanduse veebisaitide jaoks on hea mõte kasutada OpenID-i, kuid suhtlusvõrgustike veebisaitide ja infosaitide jaoks on see siiski okei.

Põhjused on järgmised:

• Te ei tea, kui turvaline on pakkuja.
-

Ma ei kasutaks OpenID-d millekski sel lihtsal põhjusel, et ma lihtsalt ei tunne selle sisemist toimimist piisavalt hästi. Üldiselt, ehkki ma ütleksin seda nii;

Kui teete oma juurdepääsuhalduse selle sisse, siis olete valmis langema, kui mõne peamise teenuseosutajaga peaks midagi juhtuma. näide sellest, et google otsustab hakata kurjaks ja müüb teie kasutaja paroolid kolmandale osapoolele, saab see kolmas osapool juurdepääsu teie saidile ja teeb kasutajate nimel asju.

Kasutajat Google'is ei vihastata. , nad vihastavad teid.

Ja kuigi selles äärmuslikus olukorras on teie taga seadused, ei tea ma, kas teil oleks juhtumeid, kui teie kasutajateavet lekitaks muus vormis.