OpenID单点登录系统存在安全隐患 不修复恐难普及

lhx1984

在上个月于伦敦举办的“Web应用未来（FOWA-07）”大会上，英国著名的Web开发人员Simon Willison介绍了OpenID单点登录系统的优势，以及它在制止垃圾信息和其他网络犯罪方面的潜力。
　　
　　可不幸的是，OpenID在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持OpenID的网站时，可能会把输入的用户名和密码送到欺诈网页；其次，OpenID依赖于路由到互联网上正确机器的URL标识，而这又依赖于进行网络地址映射的域名解析系统，众所周知，这种系统存在安全隐患。　　在技术规格上，OpenID没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(TLS) 。尽管它支持安全身份验证，但并不坚持这么做，这的确是一个失误。一旦用户身份被盗，盗用者就可以使用他的多个账户而不只是一个。
　　修复OpenID的安全漏洞远比修复数百万计的单独网站更加容易，OpenID也决非医治百病的灵丹妙药，该技术仅适用于在博客发表评论或注册试用软件，还无法用于电子商务或网上银行等对安全较为敏感的网络应用。OpenID与CardSpace的整合有望增强它对“网络钓鱼”的防御，如果能再支持TLS，那么OpenID在安全上就将迈出更具实质意义的一步，否则它只可能为用户带来灾难。