アカウント名:
パスワード:
Q11. もしOpenIDの認証サーバーがハッキングされたら、登録している全てのユーザーの情報が漏洩してしまうのではないですか? はい、確かにその可能性はあります。しかしそれはあなたがよく利用しているポータルサイトのIDが漏洩したらそのポータルサイトの全てのサービスを見られてしまうことと同じことです。つまり情報漏洩はOpenIDのシステムに問題があると言うより、OpenIDの認証サービスを提供する会社をあなたがどこまで信頼できるかという問題だと思います。あなたが信頼できる認証サーバーでOpenIDを作ることをお薦めいたします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
むしろ (スコア:0)
外部企業がIDとPWを持っているのってなにか不安があるなぁ
Re:むしろ (スコア:0)
その辺はどのようにガードしているのだろうか。
Re:むしろ (スコア:5, 参考になる)
普通のフィッシング対策を取るのが前提です。
Yahooだったらログインシールとか、通常のサイトのようにURLとSSLの状態を確認するとか。 [yahoo.co.jp]
まぁ今は大衆向けのサービスが殆ど存在していないし普及もしていないので問題にはなってませんが、
今後ユーザの多くがOpenIDを体験するようになってそれに慣れてしまうと、
『当サイトはOpenID対応なのでYahoo IDでログインできます だから下のフォームにYahoo IDとPasswordを入れてね』
とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
今は常識的に考えてYahoo以外のサイトはYahooIDではログイン出来ないわけですが、
その前提を崩すのがOpenIDなわけで。
YahooのIDじゃないけど、例えばTwitterは、Webメールのアドレス帳の内容を読み出す目的(自称)で
サインアップ時にgmail等のIDとPasswordを要求するんですが、そういうのが一般化すると色々不味いわけです。
要はOpenIDに限らず信頼できるフォーム以外にパスワードを入れちゃいけないのは変わらない事実なので
それを守る/守らせるように最大限の努力は必要だと思います。
そういう点で、YahooのOpenID対応はもうちょっと説明を入れた方が良いような気がする。
# 個人的にはブラウザへの統合も良いと思うけど。Verisign PIPのような。
Re:むしろ (スコア:1)
> とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
もう少し巧妙な手口 [fkoji.com]もあるようです。これだとOpenIDについて分かってる人でも、うっかり引っかかりそう…。
Re:むしろ (スコア:4, 参考になる)
Openid.ne.jp [openid.ne.jp]
QAより抜粋
ということで、Yahooを信頼できなければヤメロという結論。
Re: (スコア:0)
> ということで、Yahooを信頼できなければヤメロという結論。
いやそうじゃなくって、「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」
と宣伝してるほうを信頼できなければヤメロという結論じゃないの?
Re:むしろ (スコア:1)
> いやそうじゃなくって、「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」
> と宣伝してるほうを信頼できなければヤメロという結論じゃないの?
いや、Yahoo!などの「Identify Provider」を信頼するかどうか、であってますよ。
「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」なサイト=「Consumer」の方は、ユーザー認証は全部 Identity Provider に丸投げしています。認証の流れは、
- End User は Consumer に「OpenID URL」(ID)を伝える。
- Consumer は、受け取った OpenID URL から Identify Provier のサーバURLを取得し、End User が Identify Provider にアクセスするように Redirect する。
- End User は、Identify Provider にパスワード等の認証情報を伝える
- Identify Provider は、受け取ったパスワードなどからユーザー認証ができたら、 End User が Consumer にアクセスするように Redirect する。
- End User は、「OpenID URL」の正式な持ち主であると認可された状態で Consumer にアクセスできるようになる
といった感じ。Consumer は、正しいパスワードなどの認証に必要な情報をいっさい持っていませんし、ユーザーからパスワードなどの情報を受け取る(中継する)こともないですから、Consumer から「パスワードが洩れる」ような事態はありえません。
一方、Yahoo!の方でパスワードが洩れたりしたらYahoo!のサービスを勝手に使われるようなことになりますが、
それと同様にして、OpenIDを使ったサイトにも Yahoo!のIDで勝手にアクセスできるようになります。
End User 側からも、Consumer 側からも、Identify Provier を信頼できるかどうかは非常に重要。
Re: (スコア:0)
#1292733 [srad.jp]と#1292789 [srad.jp]は別のことを言っている。