Eu tenho pensado. Como qualquer um pode iniciar um provedor OpenID, e como não há autoridade central que aprove os provedores OpenID, por que os provedores falsos de OpenID não se tornarão um problema?
Por exemplo, um spammer pode iniciar um provedor OpenID com um backdoor para se autenticar como qualquer outro usuário que foi enganado e se registrar em seu site. Isso é possível? A reputação do provedor é a única coisa que impede isso? Será que vamos ver as listas negras do provedor OpenID e os sites de revisão de fornecedores do OpenID no futuro?
Provavelmente não entendi completamente o OpenID. Por favor, me ilumine:)
O OpenID NÃO é um protocolo intrinsecamente seguro - ele não tem o poder de forçar um provedor invasor a fornecer segurança, nem "inspecionar" cada provedor para garantir que eles sejam seguros.
O OpenID é um mecanismo pelo qual você pode armazenar suas credenciais com um provedor confiável e, em seguida, elas o verificam para outras pessoas.
Se você escolher um provedor não confiável, ele poderá ver e usar tudo o que você pode usar suas credenciais.
O OpenID não substitui a confiança.
-Adam
Seria praticamente o mesmo que ter um provedor de e-mail "falso", que seqüestraria os e-mails de confirmação dos usuários, etc. Somente a reputação está impedindo isso. As pessoas se registram em gmail.com ou hotmail.com, mas não se registram em joesixpack.org.
Jeff tem uma postagem de blog muito interessante (e longa) sobre esse tópico. Se não responder às suas perguntas, certamente o esclarecerá. Os comentários também levam a muito artigos ilustrativos . Altamente recomendado.
Há algumas perguntas semelhantes em stackoverflow.com que você pode encontrar interessante.
A única maneira de ver um servidor OpenID "desonesto" sendo um problema não é um problema de segurança de aplicativos da Web. O que você está fazendo, no entanto, é fornecer um site com sua identidade. Eles dizem às pessoas quem você é, mas elas também têm acesso a elas. Se uma pessoa mal-intencionada configura um servidor OpenID e as pessoas começam a usá-lo, o proprietário do serviço malicioso pode se fazer passar por qualquer pessoa usando o servidor.
A questão se resume em confiar nos donos do seu servidor OpenID?
Meu problema com o OpenID em geral é que ele é novo e não há nenhum padrão (que eu já tenha ouvido falar em qualquer lugar) que defina o que faz um "bom" fornecedor de OpenID. Para dados de cartão de crédito, existem padrões PCI-DSS para gerenciar informações de cartão de crédito, mas não equivalentes para identidade.
É uma nova tecnologia geralmente usada para aplicativos com requisitos mínimos de "confiança". Mas em sites como o ServerFault, eu acho que você precisa de um nível de confiança maior do que o de um blog, mas menor que o do banco ou corretor on-line.
Adicionando a respostas anteriores. Não sei ainda sobre as listas negras do OpenID, mas há uma iniciativa voluntária nas listas de permissões do OpenID . Essa whitelist é uma tecnologia distribuída (assim como e-mail, DNS, HTTPS certs), não há um único ponto de falha, não há um único ponto de confiança. Você pode confiar na lista branca de alguns caras e ele pode fingir.
Existe uma opinião de que essas listas de permissões devem ser estendidas para fornecer mais informações (não a ninguém, é claro), como atividade do usuário, número de postagens, número de avisos dos moderadores etc. Como o OpenID é uma identidade global, ajudaria a espalhar quase instantaneamente informações como esse usuário é um spammer. O que forçaria os spammers a sempre usar um novo ID. Imagine que a reputação do 1000 ServerFault também o torne um usuário confiável em milhares de outros sites.
Para quem acha que os consumidores do OpenId devem permitir que qualquer provedor do OpenId seja um autenticador, isso é apenas uma conversa maluca. Digamos que você tenha uma lista de usuários autorizados com base em um e-mail passado de provedores openid. Uma pessoa desonesta configura seu próprio serviço de provedor OpenId e conhece o e-mail de um de seus usuários autorizados anteriormente. Essa pessoa desonesta pode então 'autenticar-se' como seu usuário aceito.
Se você está tentando proteger com o openId, você deve ter uma lista branca de provedores de sua confiança, caso contrário, você está bem aberto a qualquer pessoa que saiba como configurar um serviço de provedor.