PHP OpenID没有'；t与谷歌/雅虎和'；黑客'；修好它。。。他们安全吗？

我一直在试验OpenID，并设置了一个示例网页，使用我的OpenID帐户进行访问。我正在使用，但它与我的谷歌帐户不起作用。一项小小的研究让我想到，这表明问题在于谷歌使用了

https

和

。。。可能是在PHP服务器上设置了HTTPS请求。检查以确保已安装ca证书包

在同一个线程中，有人链接到我部署并已成功用于我的Google帐户的链接。其他问题有其他定制，以绕过类似问题（，…）

我对安全不太感兴趣，所以我问；有人知道不使用这些黑客版本的原因吗

原始库是否存在这些黑客设计修复的任何缺陷，因此黑客是一个潜在的安全漏洞

有没有一个合格的加密专家看过这些解决方案后就离开了“大卫·乔姆的胡子！没有！！”

如果是这样的话——因此我不应该使用这些黑客——我如何检查我是否“安装了ca证书包”

[…]有人知道不这样做的理由吗 使用这些黑客版本

除此之外，它们是黑客版本，最有可能是未经记录的，并且对它们的行为没有任何保证

我无法具体回答，但当您使用应用了快速修复和解决方法的模块时，应该会有一些警告灯闪烁，特别是当您处理授权和安全性时。。我认为最好的建议是“自担风险使用！”

---

我相信，对这个话题有更多了解的人很快就会得到一个更明智的答案。

以下是其中一个“黑客”版本的作者所写的内容：

特别是CULLOPT_SSL_VERIFYPEER 和crolopt_SSL_VERIFYHOST都是真的 默认设置：我将它们设置为false，然后 为测试页面工作

这样做的效果几乎否定了使用HTTPS提供的任何安全优势。HTTPS在OpenID中很有用的主要原因是它可以防止中间人攻击，即一些坏人毒害您的DNS缓存，将所有

google.com

请求发送给

坏人。例如

。使用正确配置的HTTPS，您可以验证连接上的证书，发现它不是来自Google，然后说“我不会相信你说的任何话，

坏人”

！”

当然，除非您不验证任何证书（您将所有的

SSL\u verify

选项设置为

false

），否则您的服务器会相信

坏人所说的一切，就好像它是真正的谷歌提供商一样。你可以想象那是多么糟糕

现在，坦白地说，这并不是你能做出的最糟糕的选择，因为它并不比仅仅使用HTTP更糟糕，很多人都这么做。如果你暗示你提供的是HTTPS级别的安全性，而不是

还有很多关于进行基于dns的攻击有多容易，有多容易的信息。无论哪种方式，它都需要有人攻击你的服务器和谷歌之间的连接，这通常比攻击咖啡店用户的笔记本电脑和你的服务器之间的连接更难

但是，实际上修复PHP或CURL-SSL配置要好得多。或者，如果您没有这样做，请在用户使用HTTPS标识符注册时警告用户，以便他们可以选择是否真的要在您的站点上使用该OpenID

这引出了你的第二个问题。我想，在不知道您使用的服务器平台的情况下，我能做的最好的事情就是将您链接到；请参阅维基百科文章中关于“获取更好/不同/更新的CA证书捆绑包”的部分。
：

CA颁发包含公钥和所有者身份的数字证书。当最终用户试图访问未知URL时，web浏览器（如Mozilla Firefox和Microsoft Internet Explorer）将联系CA以确认URL的公钥

。。。因此，CA证书是用于通过https://

进行通信的证书。您的服务器应该在文件系统的某个位置具有CA证书。如果没有，您必须自己下载CA证书，并将

CURLOPT_CAINFO

常量设置为指向其位置

---

+1虽然这并没有回答我的问题，但它完美地反映了我的担忧。我在发帖时很担心，但我认为如果我提出这个问题，我希望这是一种紧张的安慰：）正如我所说的，希望不久会有更专业的人出现。