OpenID有哪些安全漏洞?
答案 0 :(得分:4)
答案 1 :(得分:3)
我不知道缺陷,但仍有一些风险 ......
在OpenID提供商处获得对您帐户的访问权限的攻击者可以访问您使用该帐户识别自己的任何网站。在这方面,为多个站点重复使用相同的OpenID帐户具有相同的单点故障,就像您在多个站点重新使用相同的密码并且密码被泄露一样。
OpenID依赖于OpenID提供商的DNS,永远不会失去对受信任方的控制或以任何方式受到攻击。如果您的OpenID提供商停业并且其域名丢失,则攻击者可以接管该域并访问您使用该OpenID的任何站点。显然,如果这是像Google或MyOpenID这样的主要提供商,那么这不是一个问题,因为它们会保留到该域名,但这是需要注意的较小的提供商,特别是使用委托的博客等,其中服务可能会在将来关闭,或者他们可以终止您的帐户并将地址重新分配给其他人。如果您在自己的域名上使用委托,则最好确保不会被黑客入侵,并且您将永远保留对该域名的控制权。