#php #security #web-applications #openid
#php #Безопасность #веб-приложения #OpenID
Вопрос:
Это параграф о безопасности OpenID из Википедии. Есть ли какие-либо новые обновления по этому поводу или какие-либо комментарии?
Безопасность и фишинг
Некоторые наблюдатели предположили, что OpenID имеет слабые места в системе безопасности и может оказаться уязвимым для фишинговых атак.[26][27][28] Например, вредоносная проверяющая сторона может перенаправить конечного пользователя на страницу аутентификации поддельного поставщика удостоверений, попросив этого конечного пользователя ввести свои учетные данные. По завершении этого вредоносная сторона (которая в данном случае также контролирует страницу фиктивной аутентификации) может получить доступ к учетной записи конечного пользователя у поставщика удостоверений и, таким образом, использовать OpenID этого конечного пользователя для входа в другие службы.
В попытке бороться с возможными фишинговыми атаками некоторые поставщики OpenID требуют, чтобы конечный пользователь прошел аутентификацию у них до попытки аутентификации у проверяющей стороны.[29] Это зависит от того, знает ли конечный пользователь политику поставщика удостоверений. В декабре 2008 OpenID Foundation одобрила версию 1.0 расширения политики аутентификации провайдера (PAPE), которое «позволяет проверяющим сторонам запрашивать, чтобы OpenID-провайдеры использовали указанные политики аутентификации при аутентификации пользователей, а OpenID-провайдеры сообщали проверяющим сторонам, какие политики фактически использовались».[30] Несмотря на это, эта проблема остается значительным дополнительным вектором фишинговых атак типа «человек посередине».
Другие проблемы безопасности, выявленные с OpenID, связаны с отсутствием конфиденциальности и неспособностью решить проблему доверия.[31]
Комментарии:
1. Фишинг — это социальная инженерия. Некоторые люди не смотрят на очевидные признаки, которые защищают от этого (URL не в домене провайдера, нет / сомнительный сертификат SSL и т.д.). Я сомневаюсь, что это изменится за всю жизнь.
Ответ №1:
Эта фишинговая атака все еще продолжается. Если я (как фишермен) создам страницу, я могу перейти по ссылке на мою самодельную (скопированную) страницу входа в Google и заявить, что она настоящая. Мне даже не нужно внедрять OpenID, я могу просто сказать, что я это делаю.
Так что да, эта атака все еще очень возможна. Решение заключается в обучении пользователей компьютеров: они должны проверить доменное имя, убедиться, что страница входа использует SSL и что сертификат SSL предназначен для правильного домена.
Комментарии:
1. Поэтому, я думаю, было бы безопаснее реализовать обычный вход. Вы согласны?
2. Нет. Обычные страницы входа в систему так же подвержены фишинговым атакам. При использовании обычных страниц входа в систему вы также несете ответственность за учетные данные пользователей (особенно пароль), которых у вас нет при использовании OpenID. Единственное, что может быть безопаснее с обычными страницами входа, это если у пользователя разные пароли для разных сайтов. В этом случае, если ваш сайт взломан, пароль по-прежнему не может быть украден другими учетными записями. Однако большинство пользователей используют один и тот же пароль для разных сайтов, поэтому значение фишинговой атаки остается таким же, как если бы использовался OpenID.