ale*_*emb 4 security openid spam-prevention
由于OpenID的性质,垃圾邮件发送者不是一个有利可图的目标吗?对于初学者,您可以在任何网站上创建一个OpenID帐户,并在任何其他网站上使用它,这意味着如果论坛假设登录用户可以信任,我可以登录论坛并撰写几千个帖子.
您是否同意OpenID对垃圾邮件发送者有利可图?OpenID是否会出现猛攻?
是的,这是一个问题.不,这与OpenID没有任何关系.
OpenID旨在成为基于电子邮件登录的用户友好替代品.它仅用于解决基于电子邮件的登录的可用性问题,它不是为解决基于电子邮件的登录的任何安全问题而设计的.
如果那里存在流氓OpenID提供商,允许用户无所畏惧地创建帐户,而不检查他们的身份,则这是一个问题.但是,今天也存在完全相同的问题,电子邮件登录:如果电子邮件提供商允许您创建电子邮件帐户而不证明您的身份,那么您可以使用该电子邮件地址登录任何论坛.
但是,很久以前,电子邮件案例已经解决了这个问题:只允许来自可靠提供商的电子邮件地址登录.对于OpenID也可以这样做:只接受从值得信赖的提供商发布的OpenID.如果有人登录http://John.Doe.VeriSign.Com/,则让他们进入,如果有人试图登录http://Any.Nymous.Evil-4aX0rZ.ru/,则拒绝他们.