Security 什么可以解决OpenID'；中国的安全问题

我对OpenID的问题是，任何人都可以创建一个类似于雅虎/谷歌的表单，并将用户引导到那里，然后输入密码。这会影响我作为一个用户（尽管我可以小心），但会影响OpenID提供者。可以采取什么措施来防止这种情况？除了教育用户查看URL和所有这些。我指的是一种防止这种情况的技术方法

这基本上可以归结为网络钓鱼攻击。从技术角度来看，这不是一件容易避免的事情，除非所有涉及的认证方之间都达成了相互协议。一些银行现在显示用户选择的图像。实际上，银行正试图证明他们就是那个真实的银行（因为他们知道你在注册时选择了什么图像），而用户向银行提供了一个密码，表明他们有权访问该帐户

这基本上可以归结为网络钓鱼攻击。从技术角度来看，这不是一件容易避免的事情，除非所有涉及的认证方之间都达成了相互协议。一些银行现在显示用户选择的图像。实际上，银行正试图证明他们就是那个真实的银行（因为他们知道你在注册时选择了什么图像），而用户向银行提供了一个密码，表明他们有权访问该帐户

这个问题被称为，几乎没有好的解决方案。Ka Ping Yee的论文，在维基百科的那篇文章中有一个很好的处理方法。

这个问题被称为，几乎没有好的解决方法。Ka Ping Yee的论文，在维基百科的那篇文章中链接，对其进行了很好的处理。

我不喜欢openID身份验证协议，但SSL（是一种方式，它）使网站变得可信，浏览器应该开始有类似于谷歌、雅虎、youtube等网站的列表，facebook等公司使用该技术，拒绝在未获得适当证书的情况下打开网站

这是一个稍微超出你的问题范围的解决方案，但也解决了它。因为想想这个。。。如果StackOverflow开始使用SSL，为什么浏览器应该允许连接到它而不首先获得正确的证书？有道理吧

---

一种技术，所有问题都解决了。

我不喜欢openID身份验证协议，但SSL（是一种方式，它）使网站变得可信，浏览器应该开始有类似于谷歌、雅虎、youtube等网站的列表，facebook等公司使用该技术，拒绝在未获得适当证书的情况下打开网站

这是一个稍微超出你的问题范围的解决方案，但也解决了它。因为想想这个。。。如果StackOverflow开始使用SSL，为什么浏览器应该允许连接到它而不首先获得正确的证书？有道理吧

---

一项技术，所有问题都解决了。

我一直喜欢的一个想法（不仅仅是因为这是我的想法），就是你可以通过不允许用户拥有自己的密码来解决这个问题。策略是，要登录，用户访问他们想要登录的网站，并请求身份验证令牌。然后将令牌通过电子邮件发送给他们，有效期为一点点，他们只需单击链接即可登录

然而，这种方法的明显问题在于：你的电子邮件无法做到这一点。所以，它稍微改变了问题。但是，如果您通过客户端证书方法向您的电子邮件提供商或其他任何人进行身份验证，并考虑一些其他事情（例如，确保登录链接的详细信息不会被截获等），那么这至少是一件“有趣”的事情

---

但是，一般来说，解决问题的方法是：验证交易双方的身份；i、 e.在发送您关心的任何内容之前，确保您正在与之交谈的网站是您想要的网站。

我一直喜欢的一个想法（不仅仅是因为这是我的想法），就是您可以通过从不允许用户拥有自己的密码来解决此问题。策略是，要登录，用户访问他们想要登录的网站，并请求身份验证令牌。然后将令牌通过电子邮件发送给他们，有效期为一点点，他们只需单击链接即可登录

然而，这种方法的明显问题在于：你的电子邮件无法做到这一点。所以，它稍微改变了问题。但是，如果您通过客户端证书方法向您的电子邮件提供商或其他任何人进行身份验证，并考虑一些其他事情（例如，确保登录链接的详细信息不会被截获等），那么这至少是一件“有趣”的事情

---

但是，一般来说，解决问题的方法是：验证交易双方的身份；i、 e.在发送您关心的任何内容之前，请确保您正在访问的网站是您想要的网站。

网络钓鱼不是OpenID独有的问题。@ceejayoz，是的，但在OpenID上进行时，后果是唯一的，OpenID是一种适合所有登录类型的登录系统。网络钓鱼不是OpenID独有的问题。@ceejayoz，是的，但是如果在OpenID上进行，后果是独一无二的，因为OpenID是一种适合所有类型的登录系统。这个额外的映像不能解决MITM攻击。攻击者仍然可以建立一个网络钓鱼页面，只需将用户的输入转发到真实的银行，获取图像，并将其播放给用户。@Mike Samuel-不，它不是100%安全的（什么是？），但这是防止网络钓鱼攻击的一个额外步骤。优点是，银行可以更容易地确认可疑活动，因为一台/多台服务器在试图检索用户图像时发出了大量请求。当然，这可以通过c扩展