1. ホーム
  2. 質問と答え
  3. OpenIDプロバイダ - 悪質なプロバイダを阻止するものは何ですか?

OpenIDプロバイダ - 悪質なプロバイダを阻止するものは何ですか?

2008-09-17 4 views
16

私はOpenIDのアイディアが好きです。私は自分のサイトでそれをサポートし、可能な限りどこでも使用します(ここのように!)。しかし、私は一つのことについてはっきりしていません。OpenIDプロバイダ - 悪質なプロバイダを阻止するものは何ですか?

OpenIDをサポートしているサイトは、基本的にそこにあるOpenIDプロバイダを受け入れますか?ボットサインアップを減らしたいサイトでは、どのように機能しますか?何が悪意のあるOpenIDプロバイダが無制限のボットIDを自動的に設定するのを止めるのですか?

私はいくつかのアイデアを持っており、可能な答えとして投稿しますが、誰かが私が逃したことが明らかなものが見えるかどうか疑問に思っていましたか?

出典

2008-09-17 zigdon

答えて

13

あなたは識別と認可の2つの異なることを混乱さしています。誰かが誰であるかを知っているからといって、自動的に許可する必要はありません。 Simon Willison氏はこれをうまく網羅していますAn OpenID is not an account!ホワイトリストに関する詳しい説明はSocial whitelisting with OpenIDです。

出典

2008-09-17 18:35:13 Jim

+11

識別と認証は同じことです。私はあなたが認証と認可の違いを意味すると思います。 – skaffman

+0

これらのリンクの両方が消滅しました。 –

+0

@tepples:修正しました。 – Jim

2

解決策 - あなたは新しいIDを依頼して、CAPTCHAテストに合格することができます。ボットはどんなサイトにも偽の/複数の電子メールアドレスでサインアップすることができますが、そこでは「検証」ステップも失敗します。

プロバイダのブラックリストを維持する必要がありますか?それらは実際にはうまくいきません。新しいプロバイダを簡単に設定することがいかに簡単かを考えてください。

出典

2008-09-17 18:21:40 zigdon

3

OpenIdは、あなたのサイトに登録するときにユーザーが選択するユーザー名とパスワードにすぎません。あなたはボットを除外するためにOpenIdフレームワークに頼っていません。あなたの登録システムはまだそれをしているはずです。

出典

2008-09-17 18:22:29 Will

2

私が知る限り、OpenIDは認証ではなく、認証だけを扱います。ボットを止めることは認可の問題です。

出典

2008-09-17 18:22:52 DGM

9

あなたの質問に対する短い答えは、「それはありません」です。 OpenIDは意図的に集中認証サイトを持つためのメカニズムを提供します。あなたが個人的に受け入れられると考えているOpenIDプロバイダを決定するのはあなた次第です。たとえば、Microsoft recently decided to allow OpenID on its Healthvault site only from a select few providersです。企業はLDAPベースのアクセスポイントからのOpenIDログインのみを許可することを決定することができ、政府機関はバイオメトリクスによるサイトからのOpenIDを受け入れることができ、ブログでは激しいスパムの盗聴のためTypePadのみを受け入れることができます。

OpenIDよりも多くの混乱があるようです。その最初の目標は、標準的なログインメカニズムを提供することでした。そのため、安全なログインメカニズムが必要なときに、私はそれを処理するOpenIDプロバイダをすべてまたはすべてから選択できます。誰でもどこでも自分の信頼できるOpenID プロバイダを設定することは決して目標ではありませんでした。結局のところ、暗号化を使用しても、あなたが自分のプロバイダを安全に嘘をつけて設定して、それがあなたが望むところであれば誰でも認証していると言うわけではありません。単一の標準化されたログインメカニズムを持つことは、既に大きな一歩を踏み出しています。

出典

2008-09-17 18:39:03

2

従来の「サイトごとの」ログインとは異なり、OpenIDは個々のサイトを潜在的に超えていることを示しています。さらに、このアイデンティティーもURIであるため、RDFを使用してアイデンティティに関する任意のメタデータを交換または照会するのに最適です。

OpenIDを使って、新しいユーザーの従来のユーザー名ではできないことがいくつかあります。

まず、簡単なホワイトリスト操作を実行できます。 * .bigcorp.exampleがBig Corp従業員のOpenIDであり、Big Corpがスパマーでないことが分かっている場合は、それらのOpenIDをホワイトリストに登録できます。これは半閉鎖のサイトではうまくいくはずです。たぶん現在の従業員と過去の従業員のためのソーシャルサイトです。

ただし、他の場所から特定のOpenIDが使用されていることを推測することができます。あなたがOpenIDのマップを持っていると仮定すると、評判値はStackoverflow.comからです。誰かがあなたのWebフォーラムでOpenIDを公開すると、彼らはStackoverflowで評判がいいかどうかを確認し、CAPTCHAやその試用期間をスキップすることができます。

出典

2008-09-17 19:10:46 tialaramex

関連する問題

 関連する問題