Authentication BrowserID安全吗?
昨天,根据。它看起来很漂亮,但安全吗 我马上想到的一个问题是,似乎任何可以访问我的浏览器的人都可以以我的身份登录。这也是在浏览器中存储凭据的问题,只是我可以逐个站点做出决定。布劳塞利德到底是全有还是全无Authentication BrowserID安全吗?,authentication,browserid,Authentication,Browserid,昨天,根据。它看起来很漂亮,但安全吗 我马上想到的一个问题是,似乎任何可以访问我的浏览器的人都可以以我的身份登录。这也是在浏览器中存储凭据的问题,只是我可以逐个站点做出决定。布劳塞利德到底是全有还是全无 是否还有其他潜在的安全缺陷?这不是对您问题的直接回答,但“安全”堆栈交换站点中有一个线程,讨论了同样的问题 我终于找到了第三次问答的原因。我觉得这个答案很有帮助。(我试图说服他在这里发帖,但他建议我这么做。) Michael Hackett和Kirstie Hawkey对WebID和Mozil
是否还有其他潜在的安全缺陷?这不是对您问题的直接回答,但“安全”堆栈交换站点中有一个线程,讨论了同样的问题 我终于找到了第三次问答的原因。我觉得这个答案很有帮助。(我试图说服他在这里发帖,但他建议我这么做。)
Michael Hackett和Kirstie Hawkey对WebID和Mozilla Persona进行了比较,后者在当时仍被称为BrowserID 注意到的主要差异(见表1)为:
- 角色密钥是短期的,应该使用密码进行保护。WebID密钥使用寿命很长,但可以从受密码保护的配置文件中轻松禁用
- 当前的角色实现使用标准浏览器窗口,因此很难发现欺骗(一旦浏览器获得本机角色支持,这种情况可能会改变)。WebID使用浏览器本机证书选择UI,因此不存在网络钓鱼的可能性
- 如果失去对所有者电子邮件/URI的控制,则角色和WebID身份都可能受到损害
- 角色IDP不知道使用身份的SP。WebID IDP知道每个使用标识的SP
- 如果角色SP缓存了IdP的公钥,并且浏览器仍然具有有效的证书,则仍然可以验证身份。WebID配置文件必须是可访问的,否则标识将不可用
- Persona具有良好的用户体验设计,而WebID则相反
我建议你仔细阅读这篇文章。它是免费在线提供的,不需要访问数字图书馆。我猜实际的实现会有一个弹出窗口,请求在发送加密令牌之前进行browserID登录。@Marc B是的,但这应该是一个两次单击的过程。如果我理解正确,您不会在弹出窗口中输入凭据--您只需验证您是否要使用特定的电子邮件地址登录到特定的目标站点。Firefox允许您使用主密码保护常规存储的密码,用于保护用于加密密码的加密密钥。我本以为类似的东西也适用于BrowserID。