OpenID-Anbieter - was stoppt bösartige Anbieter?

Question

Also ich mag die OpenID-Idee. Ich unterstütze es auf meiner Website und benutze es wo immer es möglich ist (wie hier!). Aber mir ist eine Sache nicht klar.

Eine Site, die OpenID unterstützt, akzeptiert grundsätzlich jeden OpenID-Anbieter, nicht wahr? Wie funktioniert das mit Websites, die Bot-Anmeldungen reduzieren möchten? Was verhindert, dass ein bösartiger OpenID-Provider automatisch unbegrenzte Bot-IDs einrichtet?

Ich habe einige Ideen und werde sie als mögliche Antwort veröffentlichen, aber ich fragte mich, ob jemand etwas Offensichtliches sehen kann, das ich verpasst habe?

Answer 1

Sie haben zwei verschiedene Dinge verwechselt - Identifizierung und Autorisierung. Nur weil du weißt, wer jemand ist, bedeutet das nicht, dass du ihnen automatisch die Erlaubnis geben musst, irgendetwas zu tun. Simon Willison deckt das in An OpenID is not an account! freundlich ab Weitere Diskussion auf Whitelisting ist in Social whitelisting with OpenID verfügbar.

Answer 2

Mögliche Lösung - Sie können immer noch neue IDs bitten, einen CAPTCHA-Test zu bestehen. Genau wie Bots können sich mit gefälschten/mehreren E-Mail-Adressen zu jeder Seite anmelden, aber auch den "Verifikations" -Schritt nicht bestehen.

Oder müssen wir mit der Pflege von Anbieter-Blacklists beginnen? Diese werden nicht wirklich gut funktionieren, wenn man bedenkt, wie einfach es ist, einen neuen Anbieter zu gründen.

Answer 3

OpenId ist nicht viel mehr als der Benutzername und das Passwort, das ein Benutzer bei der Registrierung für Ihre Site auswählt. Sie verlassen sich nicht auf das OpenId-Framework, um Bots auszusortieren; Ihr Registrierungssystem sollte das immer noch tun.

Answer 4

Soweit ich sagen kann, adressiert OpenID nur Identifikation, nicht Autorisierung. Das Stoppen von Bots ist eine Frage der Autorisierung.

Answer 5

Die kurze Antwort auf Ihre Frage lautet: "Tut es nicht." OpenID bietet absichtlich nur einen Mechanismus für eine zentralisierte Authentifizierungswebsite; Es liegt an Ihnen zu entscheiden, welche OpenID-Anbieter Sie für akzeptabel halten. Zum Beispiel, Microsoft recently decided to allow OpenID on its Healthvault site only from a select few providers. Ein Unternehmen entscheidet sich möglicherweise nur, OpenID-Anmeldungen von seinem LDAP-unterstützten Zugangspunkt zuzulassen. Eine Behörde akzeptiert möglicherweise nur OpenIDs von Biometrie-unterstützten Websites, und ein Blog akzeptiert möglicherweise nur TypPad aufgrund ihrer intensiven Spam-Überprüfung.

Es scheint eine Menge Verwirrung über OpenID zu geben. Sein ursprüngliches Ziel war es, einen Standard-Login-Mechanismus zu bieten, so dass ich, wenn ich einen sicheren Login-Mechanismus brauche, aus einem oder allen OpenID-Anbietern auswählen kann, um das für mich zu handhaben. Es war nie das Ziel, irgendjemandem irgendwo zu erlauben, seinen eigenen vertrauenswürdigen OpenID Provider einzurichten. Doing the zweite effektiv ist unmöglich — schließlich, auch mit der Verschlüsselung, gibt es keinen Grund, warum Sie nicht Ihren eigenen Anbieter einrichten können, sicher zu lügen und sagen, es authentifiziert wer Sie wollen. Ein einheitlicher Login-Mechanismus ist schon ein großer Schritt vorwärts.

Answer 6

Beachten Sie, dass OpenID Ihnen im Gegensatz zu herkömmlichen "per Site" -Logins eine Identität gibt, die möglicherweise einzelne Sites überschreitet. Besser noch, diese Identität ist sogar eine URI, daher ist sie perfekt dafür geeignet, mit RDF beliebige Metadaten über die Identität auszutauschen oder abzufragen.

Sie können ein paar Dinge mit einer OpenID machen, die Sie nicht mit einem konventionellen Benutzernamen von einem neuen Benutzer machen können.

Zuerst können Sie einige einfache Whitelist-Operationen durchführen. Wenn * .bigcorp.example OpenIDs von Big Corp-Mitarbeitern sind und Sie wissen, dass Big Corp keine Spammer sind, können Sie diese OpenIDs auf die weiße Liste setzen. Dies sollte gut für Websites, die halbgeschlossen sind, funktionieren, vielleicht ist es eine soziale Website für aktuelle und ehemalige Mitarbeiter.

Besser, Sie können Rückschlüsse von den anderen Orten machen, dass bestimmte OpenID verwendet wurde. Angenommen, Sie haben eine Zuordnung von OpenIDs zu Reputationswerten von Stackoverflow.com. Wenn jemand in Ihrem Webforum mit einer OpenID auftaucht, können Sie sehen, ob er bei Stackoverflow einen anständigen Ruf hat und die CAPTCHA- oder Probezeit für diese Benutzer überspringt.