Single SignOn distrubuito? O alternativa a LDAP?
- AOL Now Supports OpenID
- AOL & OpenID – 63 million AIM users are now OpenID-enabled! And perhaps a slight security problem…
Lo strumento sembra carino… devo approfondirlo appena ho un minuto.
Guido Maria Serra
Developer, sysop, security analyst, freesoftware evangelist.
Guido Maria Serra 
No, perchè in questo caso non si tratta di autenticazione, ma di autorizzazione…
Un attaccante potrebbe infatti mettere in piedi il proprio server OpenID (che non è altro che una pagina html…) e dirti che le sue credenziali stanno li…
Beh, tante grazie… pero’ intanto eviti di avere in giro 450.000 accoppiate username/password. Anche se… che cosa intendi esattamente? L’accoppiata server/openid è univoca… uno non può mettere in piedi un altro server e fornire lo stesso openid… è una stringa/URL univoca.
La tua ipotesi non sta in piedi…
La comodità è certamente quella di non dover inserire i propri dati ogni qual volta ci si logga su un sito (anche username e password, perchè no), non dover riempire noiosi formulari per ogni sito a cui ci si vuole registrare, poter controllare QUALI dati vengono forniti alle diverse entità , e via dicendo.
Quello che però openID _non_fa_ è autenticazione.
Se voglio differenziare i privilegi agli utenti loggati tramite openID e quelli anonimi, devo tener conto del fatto che un openID non è altro che un link ad una pagina che contiene una serie di dati relativi all’utente, e che quindi non da nessuna garanzia sull’autenticità di QUEI dati.
Oltretutto, trattandosi di un URL, espone il server alla necessità di reperire dati su un sistema remoto, non piu locale o in lan (come spesso accade con i database) e quindi potenzialmente manipolabile tramite diversi tipi di MITM…
Tutto quello che dici è giusto in mancanza di una Registration Authority. Sta a chi fornisce il servizio, una volta che uno si è registrato fornendo l’OpenId, verificare i dati prima di proseguire nella registrazione. Banalmente, fosse una banca, pretendendo che chi ha fornito quell’OpenId si presenti con carta d’identità allo sportello in modo da verificare i dati associati all’OpenId.
Se ogni qual volta un ente di questo tipo fa questo tipo di verifica, o se addirittura l’OpenId server fosse di una banca o di un provider internet, vedi che l’OpenId diventa garanzia di tracciabilità e univocità della persona. E quindi una valida alternativa distribuita ai sistemi tipo Passport di Microsoft o al “login” di Google.
Secondo me può avere futuro… stiamo a vedere chi seguirà dopo AOL.
Futuro ne ha di sicuro, anche perchè sia Drupal che WordPress stanno migrando il proprio sistema di login distribuito proprio su OpenID. Livejournal, flickr e via dicendo offrono già questo tipo di riconoscimento.
Il problema è che non deve passare come “la soluzione di tutti i mali” (non è naturalmente il tuo caso :P) prima che qualche giornale se ne esca con “TROVATA L’ALTERNATIVA ALLE PASSWORD” o cose del genere
claro…
Anche perchè già stavo pensando a come fotterlo… DNS Hijacking … ma in tal caso dovrei anche recuperare la chiave privata SSL del server in questione… (sperando che sia su SSL… se no SI sono veramente dei folli)