BrowserID安全吗?

时间:2011-07-15 20:40:30

标签: authentication browserid

昨天,Mozilla announced BrowserID authentication system,基于Verified Email Protocol。它看起来很漂亮,但是它安全吗?

立即浮现在脑海中的一个问题是,任何可以访问我浏览器的人都可以像我一样登录。这也是在浏览器中存储凭据的问题,除了我可以逐个站点地做出决定。是BrowserID的全有或全无?

还有其他潜在的安全漏洞吗?

2 个答案:

答案 0 :(得分:2)

这不是你问题的直接答案,但是在“安全”堆栈交换网站中有一个线程,讨论相同的

https://security.stackexchange.com/questions/5323/what-are-the-downsides-of-browserid-compared-to-openid-oauth-facebook

答案 1 :(得分:1)

我最终在Daniel找到了BrowserId/Persona and WebID对第三个Q& A的贡献。我发现这个答案最有帮助。 (我试图说服他在这里发帖,但他建议我这样做。)

Michael Hackett和Kirstie Hawkey的

Security, Privacy and Usability Requirements for Federated Identity提供了WebID和Mozilla Persona之间的比较,当时它仍被称为BrowserID。

注意到的主要差异(表1)是:

  • 角色键是短暂的,应该用密码保护。 WebID密钥使用寿命很长,但很容易从受密码保护的配置文件中禁用。
  • 当前的Persona实现使用标准浏览器窗口,因此很难发现欺骗(一旦浏览器获得本机Persona支持,这可能会改变)。 WebID使用浏览器本机证书选择UI,因此没有网络钓鱼的可能性。
  • 如果对所有者电子邮件/ URI的控制权丢失,则Persona和WebID身份都会受到影响。
  • Persona IdP不了解使用身份的SP。 WebID IdP知道每个使用身份的SP。
  • 如果Persona SP具有IdP公钥的缓存且浏览器仍具有有效证书,则仍应验证身份。必须可以访问WebID配置文件,否则身份将无法使用。
  • Persona具有良好的用户体验设计,而WebID恰恰相反。

我建议您阅读本文以获取更多详细信息。它可以在线免费获取,无需数字图书馆访问。

相关问题
最新问题