Opravník obecně oblíbených omylů o OpenID (diskuse)

AbcLinuxu:/ Blogy / Co není v hlavě / Opravník obecně oblíbených omylů o OpenID / Opravník obecně oblíbených omylů o OpenID (diskuse)

Štítky: bezpečnost, DNS, DVD, e-mail, firewally, Instant messaging, Internet, Jabber, KDE, komunikace, Microsoft, programování, prohlížeče, Python, SSH, SSL, TLS, web

Nástroje: Začni sledovat (2) ?

Vložit další komentář

11.2.2008 13:39 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Díky, chtěl jsem ten svůj zápisek aktualizovat, ale tys mě předběhl. Nicméně musím dodat, že s novými (a snad správnými) informacemi se mi OpenID zdá ještě hloupější než předtím... :-(

11.2.2008 13:42 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ptej se dál. :-)

OpenID sleduju od 2005, docela se mi líbilo, ale v té době bylo v plenkách a používal ho snad jenom LiveJournal. Dneska to bude o něco lepší.

Školím Ansible

11.2.2008 13:51 Stevko
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ja sa teda opýtam. Ako to openID vlastne vyzerá? Pokiaľ viem, tak je to tvaru http://server/subor (alebo podobne). Prečo práve http? Prečo nie niečo iné (ftp, https)? Alebo prečo sa neprihlasovať všade mailom? Alebo JIDom?

11.2.2008 15:03 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

OpenID vypadá jako URL, protože to URL je. Nejsem si jistý, jestli má smysl ho implementovat pro jiná URL než http.

HTTP se používá nejspíš proto, že se pěkně implementuje autentizace bez velkého obtěžování uživatele.

Školím Ansible

11.2.2008 13:50 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Nechápu co se ti na tom zdá hloupého, mně to příjde jako výborná věc. Ten model OpenID odpovídá modelu jiných služeb, třeba XMPP/Jabberu nebo emailu. Není na tom nic špatného, žádné Big Brother tendence to nestupňuje.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

11.2.2008 13:57 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Neodpovídá to mejlu nebo Jabberu, protože pod nimi se nikam nepřihlašuju. Nelíbí se mi zbytečná závislost na dalším poskytovateli něčeho.

11.2.2008 13:58 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Nechapu co je na tom hloupeho? Mam sveho duveryhodneho drzitele mych informaci, ostatni dostavaji jenom potvrzeni ze ja jsem ten za koho se vydavam, takze sice mam single-point of failure, ale ten muzu presunout na misto kde ta pravdepodobnost failure bude nizka, zaroven muzu tento single point zajistit jednim silnym heslem (schvalne kolik pouzivas hesel na webu).

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:14 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Ještě k té centralizaci... Ona centralizace stejně bude probíhat, i když na několika různých místech (zní to šíleně, ale snad mi rozumíte). I když bude více poskytovatelů OpenID, každý z nich bude (podle mě zbytečně) hromadit údaje o uživatelích.

11.2.2008 14:19 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Boze, OpenID je protokol, takze stejne jako jabber to muzu rozjet klidne na svem webu.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:25 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Já tomu rozumím, ale co to na situaci mění?

11.2.2008 14:33 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ale co by to melo resit? Proste zadna centralizace neni. Kdyz budes chtit tak si na kazdem webu zalozis novy OpenID a mas stejnou situaci jako predtim. OpenID je proste protokol, ktery je zalozeny na stejnem principu jako protokoly ktere se denne pouzivaji (platebni karty, roaming u telefonu). Vyhodou je ochrana uzivatele pred potencionalne zakernym webem.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:22 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

A ještě něco.

Jak nad tím tak přemýšlím, tak poskytování OpenID je velmi podobné poskytování e-mailových schránek. Člověk si buď založí účet u někoho, nebo si zřídí svépomocí vlastní.

Jenže to definitivně stírá tu jedinečnost ID. Když přejdu k jinému poskytovateli OpenID (nebo k jinému poskytovateli e-mailu), tak: a) musím nějak přenést data z jednoho účtu na druhý; b) musím dojít na místa, kde jsem svoje ID (e-mailovou adresu) zadal a zadat tam to aktuální.

11.2.2008 14:28 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

No samozrejme, ale tohle prece vubec OpenID nema resit a neresi. OpenID resi akutni problem toho ze uzivatele maji vsude po webu stovky roznych uctu se stejnym jmenem a heslem a to casto i na nebezpecnych webech, ktere jsou budto spatne zabezpecene, nebo jsou primo urcene pro ochytavani hesel.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Co se týče b), mrkněte na Misantropa a najděte si tam odstavec použití URL stránek jako OpenID identifikátoru (je to tučným písmem někde v první třetině). Pokud se na těch místech, kde zadáváte svoje OpenID, budete hned od začátku hlásit adresou stránky pro přesměrování na vašeho aktuálního poskytovatele (a tu můžete mít kdekoli, třeba na svém osobním webu), bude vám stačit změnit jen hlavičku té jedné stránky.

11.2.2008 14:37 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

To ale vyžaduje vazbu na další službu a taky trvanlivost toho mého URL (kde je odkaz na OpenID). Točíme se tu v kruhu. :-)

11.2.2008 14:40 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ano, vyžaduje. V tom ale problém nevidím.

Školím Ansible

11.2.2008 14:41 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ale proc by to mel OpenID resit? To je to same jako kdyby sis stezoval ze switch pracuje na urovni MAC adres a ze neumi IPv6.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Jasně, ale nevím, jak byste to už chtěl řešit jinak. Pokud už nedůvěřujete ani stálosti svých stránek (když už nedůvěřujete stálosti svého poskytovatele OpenID), pak máte holt smůlu. Ale stejně tak můžete řešit trvanlivost svého mailového konta, svého konta po jabber atd.

Prostě pokud to nechcete používat, nepoužívejte to. A pokud na tom někdo bude trvat, založte si někde jednorázový OpenID účet pro ten jeden konkrétní účel a vyjde vám to nastejno jako teď.

11.2.2008 14:50 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Jak bych to osobně chtěl řešit jinak? Nijak. Osobně bych nechal všechno na straně toho, komu patří ty stránky, kam něco chci napsat.

Co se týče důvěry ve stálost mých stránek... Nemusí se jednat jen o vlastní doménu. Co když mám svoje stránky pod stránkami firmy nebo školy? Po odchodu z firmy nebo školy nemůžu počítat, že ty stránky vydrží ještě léta...

Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...

11.2.2008 14:53 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...

Boze ty jses takovej tupec. OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit. OpenID neni Microsoft Passport, tudiz neni tady zadny tlak na to aby kazdy clovek mel jedno unikatni trvale OpenID.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:56 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

Jdu to vytesat do kamene.

Školím Ansible

11.2.2008 15:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

Už někdo zjistil, na čem se ty weby chtějí domlouvat? :-)

Jinak OpenID má zatím daleko spíš charakter hnutí „těch, co spolu mluví“, a je to postavené na tom, že všichni zúčastnění chtějí, aby to fungovalo. Což je dnes už poněkud naivní přístup při tvorbě nového „protokolu“. V době crackerů a zabezpečování původně volného internetu firewally, v době spammerů a pokusů ochránit před nimi původně volný e-mail, je dost naivní vytvořit nový protokol, který je do značné míry závislý na tom, že všichni budou hodní.

11.2.2008 15:43 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Coze? OpenID prece funguje presne naopak. OpenID predpoklada ze vsichni jsou vsichni (ostatni) zli (coz je narozdil od uzivatelu, kteri predpokladaji ze jsou vsichni hodni krok spravnym smerem).

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 16:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Když budu předpokládat, že ostaní jsou zlí, budou mi schválně posílat DNS odpovědi co nejpozději a na můj dotaz na delegující stránku mne desetkrát přesměrují, až mi nakonec začnou posílat obraz DVD rychlostí stařičkého modemu, tak se na OpenID na servereu rovnou vykašlu. Abych to mohl implementovat, musím předpokládat, že tohle mi nikdo provádět nebude, a že bude hodný.

11.2.2008 15:48 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Web ABC se ptá webu DEF: "můžeš mi prosím potvrdit, že tenhle člověk zná identifikaci http://123.def.xx/"

Ad bezpečnost:

* je možné založit si vlastní OpenID server XYZ, který bude zlý.

* ale není za pomoci hodného serveru DEF se vydávat za někoho jiného.

To, že OpenID to má jisté jiné nevýhody, to je pravda.

Školím Ansible

11.2.2008 16:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

ale není za pomoci hodného serveru DEF se vydávat za někoho jiného

Podle toho, co jste psal jinde, k vydávání se za někoho jiného stačí pozměnit mu delegující stránku.

11.2.2008 16:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ano, to je pravda. Pokud změním delegující stránku, tak se můžu vydávat za majitele delegující stránky.

Zkusím večer nebo zítra sesumarizovat do druhého blogpostu bezpečnostní problémy. (pokud to neudělá někdo dřív nebo to třeba nepřeloží z angličtiny).

Školím Ansible

11.2.2008 16:15 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Tak to se omlouvám za dezinformaci. Myslel jsem, že jediný prostředník, komu musím důvěřovat, je poskytovatel OpenID. Jestli to musí být ještě i správce delegované stránky…

11.2.2008 16:17 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Já jsem správce delegující stránky.

Pro jistotu: OpenID není tak silné jako autentizace SSL certifikátem.

Školím Ansible

11.2.2008 16:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Já jsem správce delegující stránky.

Takže vše, co bylo až dosud napsáno o problémech při změně poskytovatele OpenID, stačí přepsat na problémy při změně poskytovatele delegující stránky. Jednoznačným identifikátorem je delegující stránka, pokud ji musím změnit, měním identitu. Navíc delegující stránka není chráněna ani tím heslem…

11.2.2008 14:59 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Nejsem bůh a ani tupec.

Nicméně OpenID vzniklo jako hnutí, které chtělo jednotnost něčeho. Protokol a technická realizace vůbec je druhá věc. W3C je svým způsobem taky hnutí (je jedno, jak je to právně podchycené) -- ovšem jeho technické specifikace jsou zcela jiná věc.

11.2.2008 15:02 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ano, kdyz vznika nejaky protokol, tak se musi sejit nejaka skupina lidi. Rikej si tomu treba hnuti.

OpenID je protokol. Ma se stat univerzalnim protokolem v teto oblasti, coz je rozhodne dobre, protoze to je velice rozumny protokol. Vzhledem k tomu ze ty tuto funkcnost nechces vyuzivat tak se s OpenID vubec nesetkas. Nechapu proc tady porad kritizujes blbosti, ktere s OpenID nemaji vubec nic spolecneho.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Řeknu to takhle: pokud si pro takovéhle účely uděláte danou stránku v místě, o kterém víte, že o něj pravděpodobně v relativně blízké budoucnosti přijdete, je to jenom vaše blbost.

Opakuji: pokud to nechcete řešit, neřešte to.

11.2.2008 15:02 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Mimochodem, citát začínající "Ale pokud ten web má vlastní systém" není ode mě, ale od Filipa Jirsáka.

11.2.2008 15:07 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Opraveno. Drobnost.

A už toho nechte, bo jinak dneska odpoledne neudělám žádnou práci :-)

Školím Ansible

11.2.2008 15:36 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Hmm, cele me to prijde jako zbytecne komplikovane a s chabou (ci alespon chabe se tvarici) bezpecnosti.

Nebylo by mnohem jednodussi, kdyz by uzivatel kazdemu serveru poskytl svuj verejny klic (*) a pak by ho pokazde jeho webovy prohlizec identifikoval pomoci privatniho klice? Tedy vicemene stejne, jako na ssh. Uzivatel bud nemusi zadavat nic, nebo si zada passphrasi pri prvnim pusteni prohlizece.

Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

(*) bud by si na serveru normalne zridil ucet a verejny klic nahral do profilu, nebo treba by URL verejneho klice byl primo identifikator uzivatele.

11.2.2008 15:39 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

Nic není potřeba měnit, takhle autentizace klientským certifikátem přes HTTPS funguje už léta.

11.2.2008 16:33 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

PGP lze používat uvnitř TLS (např. GNUTLS to implementuje). Dokonce existuje návrh na rožíření HTTP o autentizaci/podepisování pomocí PGP (na Rootu o tom byl článek).

11.2.2008 16:39 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ano, v ideálním případě by autentizace SSL certifikáty řešila vše. Ale mizí nám ta decentralizace, protože v decentralizovaném systému není jasné, kterému SSL certifikátu věřit a kterému ne.

Jo a pak nám taky brzo dojdou IP adresy :-)

Čímž neříkám, že bych nebyl proti (autentizaci SSL certifikáty).

Školím Ansible

11.2.2008 17:03 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ale nemizi - klientske certifikaty nemusi byt nicim overene. Pro tohle uziti to neni potreba.

tak proste poprve uzivatel pri zrizeni uctu nahraje libovolny verejny klic a nasledne se prokazuje privatnim klicem. Ten privatni klic prokazuje tu skutecnost, ze uzivatel je ten samy, ktery tam puvodne nahral verejny klic. Nic vic.

Zrizeni uctu by mohlo byt i implicitni (pri prvni navsteve automaticky s ID podle hashe klice), pomocne udaje (jmeno) by se stahly z certifikatu.

11.2.2008 19:22 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Intuitivně mi přijde, že to jde proti duchu X.509 PKI, tak jak se dnes používá. Ztrácí se tam výhoda neměnného CommonName u certifikátu, CRL a další příjemných vlastností.

Kdyby by se tomu dal nějaký sexy název, tak by to asi pro použití "ověřit že jsem tahle osoba" fungovat mělo.

Školím Ansible

11.2.2008 19:53 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

X.509 je jen ustrnulý způsob využití asymetrické kryptografie. Řada let prokázala, že jednotná PKI je nerealizovatelná (sází na ni SSL, DNSsec IPsec).

Ani nevíte, co bych dal za to, abych mohl aplikaci říci: Služba, ke které se připojuješ, vlastní soukromý klíč k veřejnému klíči, který ti právě předávám, resp. k certifikátu, který zní na JMÉNO a podepsala jej AUTORITA, jejiž veřejný klíč ti předávám. Např. k IMAP serveru bych se mohl připojit přímo, přes HTTP/CONNECT, SSH nebo natovaný port a poštovní klient by si nesmyslně nestěžoval, že TCP adresa nesedí.

11.2.2008 17:11 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

> Jo a pak nám taky brzo dojdou IP adresy

Predpokladam, ze narazis na problem s SSL a nutnosti unikatni IP adresy pro nezavisle webove servery. Pro ucely autentizace uzivatele ale jedine co potrebuji je ochrana proti man-in-the-middle utoku. V takovem pripade by stacil jediny certifikat (vydany provozovatelem serveru) pro vsechny virtualni servery.

11.2.2008 15:59 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak je ošetřeno, že nebude možné ukrást spojení mezi webem, na který se přihlašuju, a poskytovatelem OpenID?

Pokud to chápu dobře, tak k přihlášení na jakýkoliv web přes openid stačí přesvědčit cílový web, že já jsem svoje autorita (poskytovatel) a můžu podvrhnout jakýkoliv openid účet. Prostě nezaútočím na spojení uživatel -- poskytovatel openid, ani na uživatel -- web, ale na spojení poskytovatel openid -- web. Pokud udělám obyčejný man-in-middle, tak se web bude ptát útočníka, zda se může útočník přihlásit...

Hello world ! Segmentation fault (core dumped)

11.2.2008 16:15 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Komunikace (s přiměřeně náhodnými tikety) probíhá mezi všemi třemi stranami: HTTP klient (uživatel), OpenID provider tak i OpenID consumer (všechny možnosti), což obtížnost útoku trošku zvyšuje. Je potřeba sedět někde, kde můžete odchytit všechny tři(šest) směry, pak je to triviální.

Pokud máme jednu stranu pod kontrolou (asi uživatele), tak stačí odchytit a upravit komunikaci mezi OpenID consumerem a providerem. (pokud se dobře pamatuju).

Školím Ansible

11.2.2008 16:41 r
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

r: vypada to, ze se v tom vyznas - tak me rekni, co se stane, kdyz nekdo hackne meho poskytovatele openid (ci muj hosting, kde si to budu provozovat sam)? ziska tim pristup do vsech mych sluzeb? imo j... hm, uz se tesim az tohle zacnou pouzivat eshopy ;)
---
Ano, to je problém. Stejný, jako hacknutí jakékoliv jiné, služby považované tebou za důvěryhodnou (třeba toho poskytovatele e-mailu). Výhodou OpenID je to, že je otevřené a můžeš si implementovat vlastní způsob zabezpečení - mimo klasické jméno a heslo, třeba autorizaci přes SMS, One Time Password a další. Fantazii si meze nekladou.

jenze kdyz me (ci hostingu) nekdo hackne mailserver, tak (nemam-li tam vsechnu postu archivovanou, coz aspon ja nemam :) ) zjisti kulove, bude muset zkusit na eshopu ABC jestli tam mam acc, cili si necha poslat zapomenute heslo (pokud vubec bude schopnej zjistit na jaky mail to bylo registrovano), ale v pripade openid tam musi byt ulozene vsechny l/p udaje ke vsem pouzivanym sluzbam...

11.2.2008 19:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Ano. může se přihlásit jako ty. Do banky ani shopu bych s OpenID nechodil. Ale na stránky, kde vyžadují registraci klidně.

Jen pro jistotu: OpenID producer nemá žádnou databázi login/password pro všechny weby, kterým potvrdil identitu.

Školím Ansible

11.2.2008 19:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Moment, teď se nějak ztrácím. Před časem jsem to zkoušel, založil jsem si testovací OpenID účet, na nějakém serveru třetí strany jsem si tenhle účet zaregistroval a při přihlašování mě to pak směrovalo na server té OpenID autority. Takže tam přece login/password je, ne?

11.2.2008 19:24 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Na produceru je tam pro každého uživatele jedno heslo (či cokoliv jiného).

Ke consumerům (ostatním webům) se to heslo vůbec nedostane, ty se jenom zeptají: "hele, potvrď mi, že tenhle uživatel je tohle OpenID"

Školím Ansible

11.2.2008 19:40 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Jo takhle to bylo myšleno. Mě vůbec nenapadlo, že by OpenID server mohl mít různá hesla pro jednu identitu a proto mě váš příspěvek zmátl. :-)

11.2.2008 17:24 Ivanhoej | skóre: 26 | blog: ss2_Debian | Bratislava
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Ako soft treba na zalozenie vlastneho OpenID servera. Tie kniznice som nasiel (pre python ruby) no nechce sa mi to cele programovat, ci neexistuje nieco ako pre XMPP je ejaberd ci jabberd a je nieco podobne pre openid ???

Dakujem

23.1.2009 12:22 Pev | skóre: 28
Rozbalit Rozbalit vše Re: Opravník obecně oblíbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Věroši, díky moc za vyjasnění... a také za pobavení - některé názory jsou fakt vtipné :-)

(aneb nehodnotím, pokud tématu nerozumím...).

Založit nové vlákno • Nahoru

Tiskni Sdílej: