腾讯给出的OpenID有极大的安全隐患,慎用!

2019/7/3 阅读:3718次 来源:官网
https://www.mrtx.cn/pgmnmializj

openid单点登录确实会为用户带来巨大的便利。我曾花费了整整一上午的时间来完成三个网页的注册,其中每个都要求输入新的用户名和密码。openid则能利用属性交换服务来免除这种在多个页面注册的麻烦,该服务允许网站从你指定的openid提供商处获取详细的个人信息。

可不幸的是,openid在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持openid的网站时,可能会把输入的用户名和密码送到欺诈网页;其次,openid依赖于路由到互联网上正确机器的url标识,而这又依赖于进行网络地址映射的域名解析系统,众所周知,这种系统存在安全隐患。

在技术规格上,openid没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(tls)。尽管它支持安全身份验证,但并不坚持这么做,这的确是一个失误。一旦用户身份被盗,盗用者就可以使用他的多个账户而不只是一个。

修复openid的安全漏洞远比修复数百万计的单独网站更加容易,openid也决非医治百病的灵丹妙药,该技术仅适用于在博客发表评论或注册试用软件,还无法用于电子商务或网上银行等对安全较为敏感的网络应用。我个人殷切期待采用openid技术的网站能够安全应用该技术。openid与cardspace的整合有望增强它对“网络钓鱼”的防御,如果能再支持tls,那么openid在安全上就将迈出更具实质意义的一步,否则它只可能为用户带来灾难。

最后亚荣推荐使用手机短信验证码进行注册,可以及时保证用户的安全和风险控制。服务器可以随时要求用户输入手机短信验证码。您如果有这方面的软件需求,请联系我们的客户!

作者:dukeyi2018标签:
openid
电子欺诈
互联网
域名
匿名用户04/152022

663:留言功能测试一下,看看是否正常
10:39:22 by mrtx.cn回复3435

今日值班

精灵,YR-ECMS的共同所有者,专注Web服务器/用户体验设计师和前端开发,梦幻般的设计,注重细节蓝精灵...

联系我们 结算方式
站点管理
文档