這是關於OpenID安全性的段落,來自Wikipedia。有沒有關於這個新的更新或任何評論?OpenID安全性,對此的任何更改
安全和網絡釣魚
一些觀察家認爲, OpenID的有安全弱點,可能 證明容易受到釣魚攻擊 [26] [27] [28]例如,惡意依賴方可以將最終用戶轉發給虛假標識 提供者認證頁面,要求 最終用戶輸入他們的 憑證。在此完成, 惡意黨(誰在這種情況下 也控制了假身份驗證 頁)然後可以有身份 提供商訪問 最終用戶的帳戶,因此然後使用 最終用戶的OpenID登錄到其他 服務。
在打擊可能 釣魚攻擊的最終用戶需要 到 嘗試與 依賴方認證身份驗證之前與他們一些OpenID提供 任務的嘗試。[29]這取決於 最終用戶知道身份提供者的政策。 2008年12月, OpenID基金會批准的供應商驗證的策略擴展(PAPE),其中 「使依賴方請求 供應商僱用指定 認證政策時 認證用戶和OpenID的 商通知該OpenID的版本 1.0 Relying 締約方哪些政策實際上使用了 「。[30]無論如何,此問題 仍然是中間人釣魚攻擊 攻擊的一個重要附加 矢量。
用 確定的其他安全問題OpenID涉及缺乏隱私和 未能解決信任 問題。
網絡釣魚是社會工程。有些人沒有看到明顯的跡象,防止它(URL不在提供商的域名,沒有/可疑的SSL證書等)。我懷疑這會在一生中改變。 – netcoder 2011-05-29 05:59:03