it-swarm-korea.com

OpenID를 사용하면 웹앱 보안에 어떤 영향을 줍니까?

사용자 인증을 위해 OpenID를 사용하는 것은 인기가 높아지고 실제로 웹앱을 사용하기 쉽게 만듭니다.

그러나 OpenID 구현 여부를 결정할 때 염두에 두어야 할 보안 고려 사항은 무엇입니까?

모든 종류의 웹앱에 적합합니까? 아니면 사용자 인증을 처리하는 방법을 사용해서는 안되는 웹 애플리케이션 카테고리가 있습니까?

전자 상거래 애플리케이션에 OpenID를 사용해도됩니까?

23
rem

나는 OpenId를 통해 offer 가입하는 것이 합리적이라고 생각하지만 전자 상거래 웹 사이트에서도 require 그렇지 않습니다.
그 이유는 기술에 정통한 사용자 (여전히 openid의 핵심 사용자 기반)가 위험을 감수할지 여부를 결정할 수 있기 때문입니다.

OpenId 사용을 권장하지 않는 사이트는 매우 민감한 사이트입니다. 은행 사이트 또는 사용자의 ID를 제어하려는 개인/기업 시스템 (사용자 중심 ID가 아닌 엔터프라이즈 중심 ID라고도 함).

OpenId를 사용하면 암호, 재설정, 보안 등을 포함하여 사용자의 신원을 관리 할 필요가없고 관련된 위험을 감수 할 필요가 없기 때문에 분명한 이점이 있습니다.

12
AviD

각 OpenID 공급자에는 보안 기능과 단점이 있습니다. 예를 들면 :

기능

  • Google, Facebook, MyOpenID 및 Verisign은 모두 다양한 수준의 2 단계 지원을 제공합니다. (Verisign은 가장 안전한 IMHO)

  • 그들은 모두 Javascript free operation (보안 편집증 사용자를 위해)를 지원합니다.

  • MyOpenID 및 LiveID를 통한 개인 정보 보호 및 향상된 익명 성

  • 비밀번호 변경 정책

  • Signin Seal (Yahoo, ADFSv2)

결함

  • 많은 사이트가 동일한 HTTP 헤더 보안 여기에 설명 된대로 을 제공하지 않습니다. 이는 일부 사이트가 다른 사이트보다 MITM, FireSheep, 토큰 재생 또는 클릭 재킹에 더 취약하다는 것을 의미합니다.

  • 실제로 다양한 사이트간에 일관성이 전혀 없습니다.

그리고 이것은 시작에 불과합니다. 나는 여기에 많은 귀중한 하이퍼 링크가있는 더 자세한 게시물 이 있습니다. 여기에서 주요 OpenID 제공 업체의 모든 보안 기능을 비교하고 우리가 고려해야 할 다른 기능이나 IDP를 커뮤니티에 요청하고 있습니다.

나열되지 않은 보안 기능이있는 IDP를 발견하면 누구에게나 게시 할 것을 권장합니다.

모든 종류의 웹앱에 적합합니까?

최종 사용자가 모든 종소리와 휘파람에 동의했다고 가정하면 Verisign은 더 높은 보안 시나리오에 대해 신뢰할 수있는 이름이 될 것이라고 말하고 싶습니다. 나는 그들의 HTTP 헤더 (반복 링크)의 구성을 좋아하지 않습니다. 신뢰 당사자 (웹 사이트)가 RP 및 이전 세션에서 재생 된 쿠키로부터 자신을 보호하는지 확인하십시오.

Windows/IIS를 신뢰 당사자로 사용하는 경우 이전 단락에서 언급 한 시나리오로부터 보호하기 위해 더 많은 정보를 보낼 수 있습니다.

추가 연구

Microsoft는 자세한 여기에 OpenID 보안 문제 백서 가 있습니다. 저자에게 이메일을 보냈고 그들은 http://sso-analysis.org/ 에서 분석 도구를 배포했습니다 . http://sso-analysis.org/aaas/ brm-analyzer.html

7
goodguys_activate

전자 상거래 웹 사이트에 openid를 사용하는 것은 좋지 않다고 생각하지만 소셜 네트워킹 웹 사이트와 정보 웹 사이트에 사용하는 것은 괜찮습니다.

이유는 다음과 같습니다.

  • 공급자가 얼마나 안전한지 모릅니다.
  • -
1
Mohamed

나는 그것의 내부 작동을 충분히 잘 모른다는 단순한 이유 때문에 OpenID를 아무것도 사용하지 않을 것입니다. 일반적으로 나는 이것을 말할 것입니다;

액세스 관리를 아웃소싱함으로써 주요 공급자 중 하나에 문제가 발생할 경우 낙상을 준비하는 것입니다.

예를 들어 Google이 악의적 인 행동을 시작하기로 결정하고 사용자의 비밀번호를 제 3 자에게 판매하고 해당 제 3자가 귀하의 사이트에 액세스하고 사용자를 대신하여 작업을한다고 가정 해 보겠습니다.

사용자는 Google에서 화를 내지 않으며 귀하에게 화를 낼 것입니다.

그리고이 극단적 인 상황에서 당신은 당신 뒤에 법이있는 동안 당신의 사용자 정보가 다른 형태로 유출 될 경우 사건이 있을지 모르겠습니다.

1
Toby