OpenIDセキュリティ、これに加えられた変更

Question

これはOpenIDセキュリティの段落であるWikipediaです。これに関する新しいアップデートやコメントはありますか？

セキュリティと一部のオブザーバーは のOpenIDは、セキュリティ上の弱点があり、 フィッシング攻撃に対して脆弱になるかもしれないことを示唆している

フィッシング。[26] [27] [28]たとえば、 悪意のある信頼関係者は、 のエンドユーザーを偽のIDに転送することがあります。 プロバイダ認証ページ に、そのエンドユーザーが自分の 資格情報を入力するように要求します。これを完了すると、（この場合には も偽の認証 ページを制御） 悪意のあるパーティは、アイデンティティ プロバイダと エンドユーザのアカウントにアクセスすることができ、そのように、次に使用 エンドユーザのことOpenIDは他の サービスにログインします。 フィッシング攻撃、エンドユーザーが が 依拠当事者で認証する しようとする前に、それらを使用して認証する必要がありますいくつかのOpenIDプロバイダ 任務を可能に対抗するための試みにおいて

。[29]これは、 アイデンティティプロバイダのポリシーを知っているエンドユーザ に依存しています。 2008年12月には、 のOpenID財団は「 を要求するために依拠当事者を可能にする 、プロバイダーの認証ポリシー拡張（PAPE）のバージョン 1.0を承認したプロバイダの採用をOpenIDのこと は、ユーザーを認証し、通知するためのOpenID プロバイダのとき 認証ポリシーを指定「 ポリシーが実際に であったパーティ」[30]この問題にかかわらず、この問題 は、中間者のフィッシングの 攻撃のために重要な追加のコードのままです。

で識別されるその他のセキュリティ問題OpenIDはプライバシーがなく、 の信頼性に対処できませんでした 問題[31]

Answer 1

このフィッシング攻撃はまだ成立しています。私（フィッシャーマンとして）がページを設定した場合、自分の（ログインした）Googleログインページにリンクし、それが本物だと主張することができます。私はOpenIDを実装する必要はありません、私はちょうど私が言うと言うことができます。

はい、この攻撃はまだ非常に可能です。解決方法はコンピュータユーザーを教育することです。ドメイン名を確認し、ログインページでSSLを使用し、SSL証明書が正しいドメインであることを確認します。