OpenID身份URL是敏感信息吗?

时间:2010-07-08 01:33:44

标签: security openid

OpenID身份网址是否被视为敏感信息?例如,将纯文本OpenID身份URL存储在数据库或其他什么地方是否安全?

我想不出你不应该这样做的任何理由......但是我该擅长做错了!

2 个答案:

答案 0 :(得分:3)

在我看来,它应该被视为秘密。将数据库存储为纯文本是安全的,但我不会在任何人查看时显示人们的OpenID。原因很多,有些是:

  • 这不是必要的
  • 它(与密码相结合)是许多门的关键;因此,攻击者看起来非常多汁
  • 在个别网站上,您可以自定义您的身份;如果OpenID在每一个上都是公开的,那么就有可能收集有关试图在各个站点保持独立性的人的信息

它保持私有并不重要,因此,哈希(和盐/等)的额外努力并非真正必要。它只是创造了另一个地方来保持一点复杂性,以及一个可能出错的区域。也就是说,如果我看到它完成了,我真的不会对它感到不安。

当然,我认为将OpenID视为公共信息是错误的。

答案 1 :(得分:2)

OpenID基本上是登录的用户名部分。您不需要使用任何其他UserID的安全性来处理它。

相关问题
最新问题