伪造的OpenID提供者有危险吗？

我一直在想。由于任何人都可以启动OpenID提供程序，并且由于没有中央机构可以批准OpenID提供程序，所以为什么不伪造OpenID提供程序会成为问题？

例如，垃圾邮件发送者可以通过后门启动OpenID提供程序，以使自己像其他被欺骗在其网站上注册的用户一样进行身份验证。这可能吗？提供者的声誉是阻止这种情况的唯一方法吗？将来我们会看到OpenID提供程序黑名单和OpenID提供程序审核站点吗？

可能我对OpenID完全不了解。请赐教我:)

OpenID并不是本质上安全的协议-它没有权力强制流氓提供者提供安全性，也没有“审核”每个提供者以确保其安全性。

OpenID是一种机制，您可以将其凭据存储在受信任的提供程序中，然后它们将向其他人验证您的身份。

如果您选择不可靠的提供商，他们可以查看和使用您可能会使用其凭据的所有内容。

OpenID不能替代信任。

-亚当

这与拥有“伪造”电子邮件提供商几乎相同，它将劫持用户确认电子邮件等。只有声誉才能阻止这种情况。人们可以在gmail.com或hotmail.com上进行注册，但不能在joesixpack.org上进行注册。

Jeff 在这个主题上有一个非常棒（且冗长）的博客文章。如果它不能回答您的问题，肯定会启发您。这些评论也导致了非常具有 说明性的文章。强烈推荐。

在stackoverflow.com上，您可能会发现一些类似的有趣问题。

我可以看到“流氓” OpenID服务器成为问题的唯一方法并不是Web应用程序安全问题。不过，您正在做的是为一个网站提供您的身份。他们告诉人们你是谁，但他们也可以访问它。如果恶意人员设置了OpenID服务器，并且人们开始使用它，那么恶意服务的所有者可能会冒充使用其服务器的任何人。

问题归结为您是否信任OpenID服务器的所有者？

我对OpenID的总的看法是，它是新的，并且没有任何标准（无论我在何处都听说过）来定义什么使“良好”的OpenID提供程序成为可能。对于信用卡数据，存在用于管理信用卡信息的PCI-DSS标准-但是没有等同的标识。

当然，这是一种新技术，通常用于对“信任”要求最低的应用程序。但是在ServerFault之类的网站上，我认为您需要的信任度必须比博客高，但要低于银行或在线经纪人。

添加到以前的答案。尚不了解OpenID黑名单，但有一个自愿倡议针对OpenID白名单。该白名单是一种分布式技术（就像电子邮件，DNS，HTTPS证书一样），没有单点故障，也没有单点信任。您可能会信任某些人的白名单，他可以伪造它。

有意见认为，必须扩展这些白名单以提供更多信息（当然，不提供给任何人），例如用户活动，帖子数量，主持人的警告数量等。由于OpenID是全局标识，因此有助于几乎立即传播的信息（例如此用户）是垃圾邮件发送者。这将迫使垃圾邮件发送者始终使用新的ID。想象一下，ServerFault的1000美誉使您成为成千上万其他网站上值得信赖的用户。

对于那些认为OpenId使用者应该让任何OpenId提供者成为身份验证者的人来说，这只是疯狂的说法。假设您有一个基于openid提供者传递的电子邮件的授权用户列表。某些无赖人员设置了自己的OpenId提供程序服务，并且知道您先前授权的用户之一的电子邮件。然后，该流氓可以“认证”自己为您接受的用户。

如果您尝试使用openId进行保护，则必须拥有您信任的提供者白名单，否则，任何知道如何设置提供者服务的人都将大开眼界。