Single sign on 单点登录如何不像欺骗和网络钓鱼那样具有风险?
当你访问一些网站时,你可以注册并作为其他组织(谷歌、雅虎等)的认证成员登录 如何阻止一个恶意网站仅仅显示一个登录屏幕,声称要对其他网站进行身份验证,但实际上只是收集用户名和密码 有人能解释一下如何防止这种欺骗吗?您指的是协议Single sign on 单点登录如何不像欺骗和网络钓鱼那样具有风险?,single-sign-on,Single Sign On,当你访问一些网站时,你可以注册并作为其他组织(谷歌、雅虎等)的认证成员登录 如何阻止一个恶意网站仅仅显示一个登录屏幕,声称要对其他网站进行身份验证,但实际上只是收集用户名和密码 有人能解释一下如何防止这种欺骗吗?您指的是协议 关于您的问题,请注意,您没有在要登录的站点上插入凭据,而是在提供OAuth身份验证的提供商的特定页面上,您不能简单地向用户提供您描述的假页面,或者。。。你可以,但熟悉这种身份验证的人会注意到(例如,它要求我在非谷歌托管的网站上登录谷歌?)如果我打开一个干净的浏览器,进入一个
关于您的问题,请注意,您没有在要登录的站点上插入凭据,而是在提供OAuth身份验证的提供商的特定页面上,您不能简单地向用户提供您描述的假页面,或者。。。你可以,但熟悉这种身份验证的人会注意到(例如,它要求我在非谷歌托管的网站上登录谷歌?)如果我打开一个干净的浏览器,进入一个有OAuth的网站,它会要求我作为选项之一通过谷歌登录。我点击谷歌按钮,进入一个页面,看起来就像谷歌(实际上是)要求输入电子邮件和密码。但最初的网站可以设计一个完全相同的页面,唯一知道的方法就是查看URL上的浏览器地址栏。似乎很多人可能会被欺骗,如果原来的网站有恶意的想法。是的,我指的是浏览器显示的地址和一个事实,即始终通过https的用户也可以验证证书。是的,很多人不会注意到,但OAuth的目标不是让网络钓鱼变得更难,所以我想你的问题的答案是,它甚至没有尝试以任何新颖的方式阻止网络钓鱼。这是一个很好的问题。如果站点打开一个新窗口,它可以在某些浏览器(特别是IE)中隐藏地址栏。然后你伪造谷歌登录的登录屏幕和“授权此应用程序”页面。唯一的缺点是,如果此人在其帐户上启用了双因素身份验证,并且确信他们已登录谷歌。唯一的防御措施是知道你在做什么,让浏览器供应商帮助用户避免在外国网站上输入密码。当然,很多人在任何地方都使用相同的密码。按照在任何地方都使用相同密码的思路,只要求对方提供他们的电子邮件地址和密码会简单得多。没有什么可以欺骗的,而且可能也会起作用。相关: