OpenID a phishing

Tohle je trochu více technicky zaměřený článek o OpenID, běžným uživatelům doporučuji první článek, popisující co OpenID je a jak jej používat.
Tady se zaměřím na programátorskou stránku věci.

Jak to funguje?

Kdo má trochu potuchy o cookies a programování webů, asi si dá snadno dohromady, jak OpenID funguje. Server, který potřebuje ověřit uživatele (authenticate), pošle požadavek na uživatelovu adresu, ta se v jeho prohlížeči načte, ověří například pomocí cookie nebo pomocí výzvy uživateli k zadání hesla, že to je opravdu on a pošle zpět serveru potvrzení, že ověření se zdařilo a uživatel k téhle adrese opravdu patří.

Toť můj amatérský pohled, přesněji se protokol rozebírá na obrázku z OpenID.net.

Jednoduchá námitka k principu OpenID může směřovat právě k oné fázi přesměrování uživatele a velké možnost phishingu. Phishing je forma bezpečnostního útoku, kde ve fázi, kdy je uživatel přesměrováván na onu stránku, kde má vyplnit své hlavní heslo, lze podstrčit stránku falešnou a heslo tak od uživatele získat. Podrobněji o tom píše například česká wikipedia na stránce Phishing.

Myšlenku, jak proti tomuhle bojovat nastínil například Simon Willison ve svém článku o OpenID a phisingu. Implementovalo ji už například mnou používané MyOpenID. Uživatel by měl být veden k tomu, aby své heslo zadával pouze na stránce, které lze věřit. A proto v nastaveních mého účtu mám možnost sám sobě zakázat vyplňování hesla na jakékoliv jiné stránce, než je jedna jediná s přesně danou adresou.
Simon Willison dále navrhuje, že první stránka OpenID poskytovatele, na kterou je uživatel během přihlašování přesměrován, by neměla ještě žádat heslo, ale obsahovat pouze odkaz na tu danou hlavní přihlašovací stránku.

4 thoughts on “OpenID a phishing

  1. O pissingu jsem toho hodne slysel, ale jsem rad, ze ho na mne jeste nikdo nevyzkousel.

  2. ze by na mne nekdo vyzkousel pissing a ja si teho nevsimnul? tuz to nevim, mozna mas praudu. budu k sobe cuchat casteji. a ty muzes taky, a kdyby neco tak rekni. dik (vy hosi z “matky mest a nalad” jste vubec chytri)

Comments are closed.