ओपनआईडी प्रदाताओं - क्या दुर्भावनापूर्ण प्रदाताओं को रोकता है?

Question

तो मुझे ओपनआईडी विचार पसंद है। मैं इसे अपनी साइट पर समर्थन देता हूं, और जहां भी संभव हो वहां इसका उपयोग करता हूं (जैसे यहां!)। लेकिन मैं एक चीज़ के बारे में स्पष्ट नहीं हूं।

ओपनआईडी का समर्थन करने वाली साइट मूल रूप से किसी ओपनआईडी प्रदाता को स्वीकार करती है, है ना? यह उन साइटों के साथ कैसे काम करता है जो बॉट-साइनअप को कम करना चाहते हैं? एक दुर्भावनापूर्ण ओपनआईडी प्रदाता को असीमित बॉट आईडी स्वचालित रूप से सेट करने से रोकने के लिए क्या है?

मेरे पास कुछ विचार हैं, और उन्हें एक संभावित उत्तर के रूप में पोस्ट करेंगे, लेकिन मैं सोच रहा था कि कोई भी कुछ स्पष्ट देख सकता है कि मुझे याद आया है?

Answer 1

आपने दो अलग-अलग चीजों को उलझन में रखा है - पहचान और प्रमाणीकरण। सिर्फ इसलिए कि आप जानते हैं कि कोई कौन है, इसका मतलब यह नहीं है कि आपको उन्हें कुछ भी करने की अनुमति देना है। साइमन विलिसन An OpenID is not an account! में इस अच्छी तरह से कवर करता है श्वेतसूची पर अधिक चर्चा Social whitelisting with OpenID में उपलब्ध है।

Answer 2

संभावित समाधान - आप अभी भी एक कैप्चा परीक्षण पास करने के लिए नई आईडी पूछ सकते हैं। बस बॉट्स किसी भी साइट पर नकली/एकाधिक ईमेल पते के साथ साइन अप कर सकते हैं, लेकिन वहां "सत्यापन" चरण भी विफल हो जाते हैं।

या क्या हमें प्रदाता ब्लैकलिस्ट बनाए रखना शुरू करना होगा? वे वास्तव में बहुत अच्छी तरह से काम नहीं करेंगे, यह देखते हुए कि एक नया प्रदाता स्थापित करना कितना आसान है।

Answer 3

ओपनआईडी उपयोगकर्ता द्वारा आपके साइट के पंजीकरण के दौरान उपयोगकर्ता नाम और पासवर्ड से कहीं अधिक नहीं है। आप ओपनआईडी ढांचे पर भरोसा नहीं करते हैं ताकि बॉट्स को कम किया जा सके; आपकी पंजीकरण प्रणाली अभी भी ऐसा करनी चाहिए।

Answer 4

जहां तक ​​मैं कह सकता हूं, ओपनआईडी केवल पहचान पहचानता है, प्राधिकरण नहीं। बॉट रोकना प्राधिकरण का मामला है।

Answer 5

आपके प्रश्न का संक्षिप्त उत्तर है, "यह नहीं है।" ओपनआईडी जानबूझकर एक केंद्रीकृत प्रमाणीकरण साइट के लिए एक तंत्र प्रदान करता है; यह तय करने के लिए आप कौन सा ओपनआईडी प्रदाता व्यक्तिगत रूप से स्वीकार्य मानते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट recently decided to allow OpenID on its Healthvault site only from a select few providers। एक कंपनी केवल अपने एलडीएपी समर्थित बैक से ओपनआईडी लॉग इन को अनुमति देने का निर्णय ले सकती है, एक सरकारी एजेंसी केवल बायोमेट्रिक्स-समर्थित साइटों से ओपनआईड्स स्वीकार कर सकती है, और एक ब्लॉग केवल उनके स्पैम वीटिंग के कारण टाइपपैड स्वीकार कर सकता है।

ओपनआईडी पर बहुत भ्रम प्रतीत होता है। इसका मूल लक्ष्य केवल एक मानक लॉगिन तंत्र प्रदान करना था ताकि जब मुझे एक सुरक्षित लॉगिन तंत्र की आवश्यकता हो, तो मैं इसे किसी भी या सभी ओपनआईडी प्रदाताओं से चुनने के लिए चुन सकता हूं। किसी को कहीं भी अपने स्वयं के भरोसेमंद ओपनआईडी प्रदाता स्थापित करने की अनुमति देना कभी लक्ष्य नहीं था। दूसरे प्रभावी ढंग से करना असंभव — है, यहां तक ​​कि एन्क्रिप्शन के साथ भी, ऐसा कोई कारण नहीं है कि आप अपने स्वयं के प्रदाता को सुरक्षित रूप से झूठ बोलने के लिए सेट न करें और कहें कि आप जो भी चाहते हैं उसे प्रमाणित कर रहे हैं। एक एकल, मानकीकृत लॉगिन तंत्र होने से पहले से ही एक महान कदम आगे है।

Answer 6

नोटिस कि परंपरागत "प्रति साइट" लॉगिन के विपरीत, ओपनआईडी आपको एक पहचान देता है जो संभावित रूप से व्यक्तिगत साइटों से आगे निकलता है। अभी तक बेहतर, यह पहचान भी एक यूआरआई है, इसलिए पहचान के बारे में मनमाना मेटाडेटा का आदान-प्रदान करने या क्वेरी करने के लिए आरडीएफ के साथ उपयोग करने के लिए यह सही है।

आप ओपनआईडी के साथ कुछ चीजें कर सकते हैं जो आप किसी नए उपयोगकर्ता से पारंपरिक उपयोगकर्ता नाम से नहीं कर सकते हैं।

सबसे पहले आप कुछ सरल श्वेतसूची संचालन कर सकते हैं। यदि * .bigcorp.example बिग कॉर्प कर्मचारियों से ओपनआईडी हैं और आप जानते हैं कि बिग कॉर्प स्पैमर नहीं हैं, तो आप उन ओपनआईड्स को श्वेतसूची में डाल सकते हैं। यह उन साइटों के लिए अच्छी तरह से काम करना चाहिए जो अर्ध-बंद हैं, शायद यह वर्तमान और पिछले कर्मचारियों के लिए एक सामाजिक साइट है।

बेहतर हालांकि, आप उन अन्य स्थानों से सम्मेलन कर सकते हैं जो विशिष्ट ओपनआईडी का उपयोग किया गया है। मान लें कि आपके पास Stackoverflow.com से प्रतिष्ठा मानों के लिए OpenIDs का नक्शा है। जब कोई आपके वेब फोरम पर ओपनआईडी के साथ दिखाई देता है, तो आप देख सकते हैं कि उनके पास स्टैक ओवरफ्लो में सभ्य प्रतिष्ठा है या उन उपयोगकर्ताओं के लिए कैप्चा या प्रोबेशनरी अवधि छोड़ दें।