查看: 1823|回复: 0
收起左侧

[分享] OpenID单点登录系统存在安全隐患 不修复恐难普及

 关闭 [复制链接]
lhx1984
发表于 2007-4-3 10:51:56 | 显示全部楼层 |阅读模式
在上个月于伦敦举办的“Web应用未来(FOWA-07)”大会上,英国著名的Web开发人员Simon Willison介绍了OpenID单点登录系统的优势,以及它在制止垃圾信息和其他网络犯罪方面的潜力。
  
  可不幸的是,OpenID在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持OpenID的网站时,可能会把输入的用户名和密码送到欺诈网页;其次,OpenID依赖于路由到互联网上正确机器的URL标识,而这又依赖于进行网络地址映射的域名解析系统,众所周知,这种系统存在安全隐患。  在技术规格上,OpenID没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(TLS) 。尽管它支持安全身份验证,但并不坚持这么做,这的确是一个失误。一旦用户身份被盗,盗用者就可以使用他的多个账户而不只是一个。
  修复OpenID的安全漏洞远比修复数百万计的单独网站更加容易,OpenID也决非医治百病的灵丹妙药,该技术仅适用于在博客发表评论或注册试用软件,还无法用于电子商务或网上银行等对安全较为敏感的网络应用。OpenID与CardSpace的整合有望增强它对“网络钓鱼”的防御,如果能再支持TLS,那么OpenID在安全上就将迈出更具实质意义的一步,否则它只可能为用户带来灾难。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-1 10:44 , Processed in 0.117747 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表