我一直在想。既然任何人都可以启动 OpenID 提供者,而且由于没有批准 OpenID 提供者的中央机构,为什么伪造的 OpenID 提供者不会成为问题?
例如,垃圾邮件发送者可以启动带有后门的 OpenID 提供程序,让自己像其他任何被诱骗在其网站上注册的用户一样进行身份验证。这可能吗?提供商的声誉是唯一阻止这种情况发生的因素吗?将来我们会看到 OpenID 提供商黑名单和 OpenID 提供商审查站点吗?
可能我完全不了解 OpenID。请赐教:)
Ada*_*vis 16
OpenID 不是本质安全的协议——它没有权力强迫流氓提供者提供安全性,也没有“审查”每个提供者以确保它们是安全的。
OpenID 是一种机制,您可以通过这种机制将您的凭据存储在受信任的提供商处,然后他们会向其他人验证您的身份。
如果您选择不可信的提供商,他们可以查看和使用您可能使用凭据进行的所有内容。
OpenID 不能替代信任。
-亚当
var*_*tec 15
这与拥有“假”电子邮件提供商几乎相同,这会劫持用户确认电子邮件等。只有声誉才能阻止这种情况。人们会在 gmail.com 或 hotmail.com 上注册,但不要在 joesixpack.org 上注册。
| 归档时间: |
|
| 查看次数: |
1471 次 |
| 最近记录: |