/ / W jaki sposób OpenId jest bezpieczny? - uwierzytelnianie, openid

W jaki sposób OpenId jest bezpieczny? - uwierzytelnianie, openid

Znalazłem to w innym SO wątek:

Kroki:

  1. Użytkownik łączy się z witryną obsługującą OpenID.
  2. Użytkownik wprowadza dane uwierzytelniające.
  3. POST jest wykonywany za pomocą BASE64 (strona internetowa do dostawcy)
  4. Odpowiedź została zbudowana (zawiera datę ważności)
  5. Witryna przekierowuje użytkownika do dostawcy w celu zalogowania.
  6. Użytkownik wprowadza hasło i przesyła.
  7. Weryfikacja jest zakończona.
  8. Zaloguj sie!

Jak zabezpieczone są kroki 6-8? Z mojego punktu widzenia klient uwierzytelnia się z dostawcą i przekazuje wyniki do naszego serwera.

Co powstrzymuje klienta przed sfałszowaniem wyniku uwierzytelnienia?

Odpowiedzi:

2 dla odpowiedzi № 1

Wynik uwierzytelnienia jest przede wszystkim podpisany kryptograficznie przez dostawcę. Istnieją również inne środki bezpieczeństwa chroniące przed innymi atakami.

Cytując Specyfikacja OpenID 2.0, sekcja 11.:

Gdy strona ufająca otrzyma pozytywne stwierdzenie, MUSI zweryfikować następujące kwestie przed zaakceptowaniem twierdzenia:

  • Wartość „openid.return_to” odpowiada adresowi URL bieżącego żądania (Sekcja 11.1)
  • Odkryte informacje są zgodne z informacjami zawartymi w stwierdzeniu (Sekcja 11.2)
  • Asercja nie została jeszcze zaakceptowana z tego PO o tej samej wartości dla „openid.response_nonce” (Sekcja 11.3)
  • Podpis na potwierdzeniu jest prawidłowy, a wszystkie pola, które wymagają podpisu, są podpisane (Sekcja 11.4)

Klient może oczywiście wysłać fałszywy wynik uwierzytelnienia, ale nie przejdzie weryfikacji.

Powiązane pytania

Wydaje się, że delegowanie OpenID nie działa z wtyczką OpenID Authentication dla Railsów - ruby-on-rails, openid
Czy jest dostępny dowolny pythonowy serwer OpenID? - python, openid
Stackoverflow's implementacja openid dla PHP - php, authentication, oauth, openid, google-authentication
Openid get Provider - php, openid
Jak korzystać z OpenID na mojej stronie - php, openid
Używanie OpenID z istniejącym sytemem logowania do strony - php, mysql, openid, exchange-exchange
Implementacja OpenId na mojej własnej stronie - openid
Dostawca OpenID oferujący dane uwierzytelniające dla kont, których nie kontrolują - openid, provider-openid
Czy mój otwarty identyfikator zmienia się z czasem? - openid, dostawca openid
Najlepsza praktyka w tworzeniu witryny za pomocą openId - tabela użytkowników? - openid
Pierwsze kroki z OpenID - java, openid
Intuit - Nie znaleziono punktu końcowego OpenID - platforma intuit-partner, quickbooks-online
Dodawanie OpenID do mojej witryny AppEngine? jak użytkownicy tworzą konto? - google-app-engine, openid
Stackoverflow i Facebook Connect - facebook, oauth, openid
Najlepsza biblioteka Coldfusion dla OpenID [closed] - uwierzytelnianie, coldfusion, openid
Jak zintegrować logowanie Open ID - asp.net, sql-server, openid, dotnetopenauth
Problemy przy użyciu openid-selector / dotnet openid - asp.net, asp.net-mvc, openid, dotnetopenauth, openid-selector
Prosty kod uwierzytelniający OpenID dla .NET MVC - asp.net-mvc, openid
Migracja Google OpenID do nowej domeny - asp.net-mvc, dotnetopenauth, google-openid
OpenId na Androida - Android, openid, strona klienta