最新信息
您的位置:网站首页  » 建站专家 » 正文

腾讯给出的OpenID有极大的安全隐患,慎用!

2019-07-03阅览次数: 422次
先看看腾讯自己对OpenAPI的说法:
大部分OpenAPI的访问,如发表微博、获取用户信息、发表私信等都需要用户身份,而OpenID可以唯一标识一个用户。在同一个应用下,同一个QQ号码的OpenID是相同的;但在不同应用下,同一个QQ号码可能有不同的OpenID。
OpenID也是腾讯公司很多业务都使用的用户标识,且在各业务间是通用的,开发者可以一次获取,然后在各个业务中使用,为用户提供了方便。

openid单点登录确实会为用户带来巨大的便利。我曾花费了整整一上午的时间来完成三个网页的注册,其中每个都要求输入新的用户名和密码。openid则能利用属性交换服务来免除这种在多个页面注册的麻烦,该服务允许网站从你指定的openid提供商处获取详细的个人信息。

可不幸的是,openid在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持openid的网站时,可能会把输入的用户名和密码送到欺诈网页;其次,openid依赖于路由到互联网上正确机器的url标识,而这又依赖于进行网络地址映射的域名解析系统,众所周知,这种系统存在安全隐患。

在技术规格上,openid没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(tls)。尽管它支持安全身份验证,但并不坚持这么做,这的确是一个失误。一旦用户身份被盗,盗用者就可以使用他的多个账户而不只是一个。

修复openid的安全漏洞远比修复数百万计的单独网站更加容易,openid也决非医治百病的灵丹妙药,该技术仅适用于在博客发表评论或注册试用软件,还无法用于电子商务或网上银行等对安全较为敏感的网络应用。我个人殷切期待采用openid技术的网站能够安全应用该技术。openid与cardspace的整合有望增强它对“网络钓鱼”的防御,如果能再支持tls,那么openid在安全上就将迈出更具实质意义的一步,否则它只可能为用户带来灾难。

相关阅读
客服明星网站建设
  • 精灵,WEBOSS的共同所有者,专注Web服务器/用户体验设计师和前端开发,梦幻般的设计,注重细节蓝精灵,亚[详细]

  • 闵哥,能讲很标准的普通话,我们感觉比电台还好听。他总是戴耳机,时刻再听音乐...闵哥,网络资深从业[详细]

  • 蓝蓝,主要负责平面排版工作。一个有才华的设计师,她结合了她十多年作为销售和市场营销专业的经验蓝蓝[详细]

关于我们 - 联系我们 - 诚聘英才 - 网站文化 - 法律服务 - 网站地图 - 友情链接

合作伙伴 - 网站留言 - 留言列表 - 结算方式 - 在线订单 - 网站投票 - 网站地图

备案编号:鄂ICP备18023717号

©中国网站原创联盟服务机构·亚荣软件·宜昌网站制作

April Media is an independent Media Organization based in Yichang, China.

宜昌亚荣软件开发有限公司 ©版权所有

Copyright © 2010 - 2019 April Media. All Rights Reserved

TEL:13986805302;0717-8866860

UNID:91420506MA48BM2C2J

E-MAIL:web@mrtx.cn

在线下单    13986805302袁工/ 13581492345 闵工/营销中心:0717-8866860 QQ:84486631
网站测试期间,网站文字,图片,及其他资源,若侵犯您的权力,请联系我们!
  • 在线沟通,请点我在线咨询

  • 咨询热线:
    139868O53O2
    客服qq:
    84486631