腾讯给出的OpenID有极大的安全隐患,慎用!
2019/7/3 阅读:3841次 来源:官网
https://www.mrtx.cn/pgmnmializj
https://www.mrtx.cn/pgmnmializj
先看看腾讯自己对OpenAPI的说法:
大部分OpenAPI的访问,如发表微博、获取用户信息、发表私信等都需要用户身份,而OpenID可以唯一标识一个用户。在同一个应用下,同一个QQ号码的OpenID是相同的;但在不同应用下,同一个QQ号码可能有不同的OpenID。
OpenID也是腾讯公司很多业务都使用的用户标识,且在各业务间是通用的,开发者可以一次获取,然后在各个业务中使用,为用户提供了方便。
openid单点登录确实会为用户带来巨大的便利。我曾花费了整整一上午的时间来完成三个网页的注册,其中每个都要求输入新的用户名和密码。openid则能利用属性交换服务来免除这种在多个页面注册的麻烦,该服务允许网站从你指定的openid提供商处获取详细的个人信息。
可不幸的是,openid在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持openid的网站时,可能会把输入的用户名和密码送到欺诈网页;其次,openid依赖于路由到互联网上正确机器的url标识,而这又依赖于进行网络地址映射的域名解析系统,众所周知,这种系统存在安全隐患。
在技术规格上,openid没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(tls)。尽管它支持安全身份验证,但并不坚持这么做,这的确是一个失误。一旦用户身份被盗,盗用者就可以使用他的多个账户而不只是一个。
修复openid的安全漏洞远比修复数百万计的单独网站更加容易,openid也决非医治百病的灵丹妙药,该技术仅适用于在博客发表评论或注册试用软件,还无法用于电子商务或网上银行等对安全较为敏感的网络应用。我个人殷切期待采用openid技术的网站能够安全应用该技术。openid与cardspace的整合有望增强它对“网络钓鱼”的防御,如果能再支持tls,那么openid在安全上就将迈出更具实质意义的一步,否则它只可能为用户带来灾难。
最后亚荣推荐使用手机短信验证码进行注册,可以及时保证用户的安全和风险控制。服务器可以随时要求用户输入手机短信验证码。您如果有这方面的软件需求,请联系我们的客户!
上一篇:
高级.NET网站必须要优化的设置
下一篇:
宜昌网站建设公司是如何忽悠用户
广告位置 敬请期待
宜昌亚荣软件开发有限公司
宜昌亚荣软件开发有限公司
