腾讯给出的OpenID有极大的安全隐患,慎用!

2019/7/3 阅读:1108次 来源:官网

先看看腾讯自己对OpenAPI的说法:
大部分OpenAPI的访问,如发表微博、获取用户信息、发表私信等都需要用户身份,而OpenID可以唯一标识一个用户。在同一个应用下,同一个QQ号码的OpenID是相同的;但在不同应用下,同一个QQ号码可能有不同的OpenID。
OpenID也是腾讯公司很多业务都使用的用户标识,且在各业务间是通用的,开发者可以一次获取,然后在各个业务中使用,为用户提供了方便。

openid单点登录确实会为用户带来巨大的便利。我曾花费了整整一上午的时间来完成三个网页的注册,其中每个都要求输入新的用户名和密码。openid则能利用属性交换服务来免除这种在多个页面注册的麻烦,该服务允许网站从你指定的openid提供商处获取详细的个人信息。

可不幸的是,openid在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持openid的网站时,可能会把输入的用户名和密码送到欺诈网页;其次,openid依赖于路由到互联网上正确机器的url标识,而这又依赖于进行网络地址映射的域名解析系统,众所周知,这种系统存在安全隐患。

在技术规格上,openid没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(tls)。尽管它支持安全身份验证,但并不坚持这么做,这的确是一个失误。一旦用户身份被盗,盗用者就可以使用他的多个账户而不只是一个。

修复openid的安全漏洞远比修复数百万计的单独网站更加容易,openid也决非医治百病的灵丹妙药,该技术仅适用于在博客发表评论或注册试用软件,还无法用于电子商务或网上银行等对安全较为敏感的网络应用。我个人殷切期待采用openid技术的网站能够安全应用该技术。openid与cardspace的整合有望增强它对“网络钓鱼”的防御,如果能再支持tls,那么openid在安全上就将迈出更具实质意义的一步,否则它只可能为用户带来灾难。

作者:dukeyi2018标签:openid电子欺诈互联网域名
baidu
互联网 www.mrtx.cn
...
今日值班

精灵,YR-ECMS的共同所有者,专注Web服务器/用户体验设计师和前端开发,梦幻般的设计,注重细节蓝精灵...

联系我们 结算方式 站点管理 文档