मैं गलतफहमी दूसरों है कि में गिर गए हैं लगता है - प्रश्न बाहरी प्राधिकरण के बारे में था। निजी तौर पर, मैं केवल स्थानीय नेटवर्क पर वितरित प्राधिकरण पर भरोसा करता हूं जहां मेरा प्रमाणीकरण और प्रमाणीकरण सर्वर पर नियंत्रण होता है। मैं किसी वेब साइट पर बाहरी प्राधिकरण का कभी भी उपयोग नहीं करूंगा।
नीचे ओपनआईडी पर प्रमाणीकरण सेवा के रूप में मेरी टिप्पणियां हैं।
1) जैसा कि बताया गया था, प्रमाणीकरण! = प्रमाणीकरण। ओपनआईडी प्रमाणीकरण संभालती है, लेकिन वेब ऐप मालिक के पास अभी भी उस लॉगिन को दिए गए अधिकारों पर पूर्ण नियंत्रण है। यह एक सकारात्मक है, लेकिन इसके बारे में भ्रम एक नकारात्मक है।
2) मुझे लिंक नहीं मिल रहा है, लेकिन ओपनआईडी मध्य/फ़िशिंग हमलों में सामाजिक इंजीनियरिंग/मुख्य के लिए खुला है। प्रदाता इस (आईडी छवियों, ब्राउज़र प्रमाण पत्र, कॉल बैक सत्यापन आदि) को रोकने की कोशिश करते हैं, लेकिन यह मदद नहीं करता है जब ब्लैक टोपी साइट एक संवाद/पृष्ठ को पॉप अप करती है जो कहती है "अपना ओपनआईडी उपयोगकर्ता नाम और पासवर्ड दर्ज करें" और प्रतिभा उपयोगकर्ता का पालन करता है।
3) संघीय आईडी के प्रत्येक प्रदाता के पास उनके उपयोगकर्ताओं की सभी गतिविधियों को ट्रैक करने की क्षमता है (और कुछ जिम्मेदारी कहेंगे), चाहे वे किस साइट का उपयोग करते हैं। यह वह जगह है फ़ेडरेटेड आईडी प्रदान करने के लिए क्यों गूगल और याहू गुंग-हो रहे हैं, लेकिन उपभोक्ता उन्हें के बारे में बहुत उत्साहित नहीं।
4) उपर्युक्त टिप्पणी के विपरीत, आमतौर पर यह मामला है कि ओपनआईडी का उपयोग करके बाधा को पंजीकरण में कम कर दिया जाता है, खासकर जब एक उपयोगी यूआई बताता है कि एक नए उपयोगकर्ता के पास पहले से ही एक ओपनआईडी है। जब आप एक संयुक्त ओपनआईडी/ओएथ समाधान जैसे आरपीएक्स का उपयोग करते हैं तो यह और भी सत्य होता है।
तो, देखने की मेरी बात से, OpenID का उपयोग करके के जोखिम को उपयोगकर्ता, नहीं वेब साइट पर कर रहे हैं। मैं उपयोगकर्ता को अभी तक किसी अन्य उपयोगकर्ता आईडी & पासवर्ड को याद रखने की कोशिश करके फ़िश होने से नहीं रोक सकता। इसके अलावा, ब्लैक हैट को उपयोगकर्ता के अन्य खातों तक पहुंच प्राप्त करने के लिए सादे पाठ में अपनी साइट के लिए स्टोर उपयोगकर्ता पासवर्ड की तुलना में और अधिक घृणित करने की आवश्यकता नहीं है। लॉग इन की हर वेबसाइट के लिए कितने लोग एक अलग पासवर्ड का उपयोग करते हैं?
यह सिर्फ मुझे या सबसे जवाब प्रमाणीकरण और प्राधिकरण के बीच अंतर पर कार्रवाई करने में विफल रहा है? –
यह आप नहीं है ... मैंने सोचा था कि प्रश्नकर्ता के पास यह गलत था (जवाब पढ़ने से) ... लेकिन फिर मैं वास्तव में प्रश्न पढ़ता हूं ;-) – fretje
तो मुझे लगता है कि यह "जागरूकता की कमी" है :) – fretje