OpenID - это легкое взламывать, или я пропускаю что-то?
Журналы интереса:
- /var/log/apache2 /* - apache2 журналы :)
- /var/log/auth.log - попытки аутентификации
- /var/log/daemon.log - системные процессы регистрируются здесь
- /var/log/syslog - все регистрируется здесь
Я использую logwatch пакет для контроля трафика SMTP и логинов SSH и попыток аутентификации. Это доступно от большинства дистрибутивов Linux, включая Ubuntu по умолчанию.
aptitude install logwatch
В прошлом я также использовал logsurfer +, который является сложной частью программного обеспечения, но высоконастраиваемый.
Если ни один из этих инструментов (logwatch, logsurfer +) не удовлетворяет Ваши потребности, существует большое количество решений по управлению журнала от различных поставщиков. С пакетов программного обеспечения на специализированные устройства. Вот некоторые, чтобы начать, если Вы хотите провести дополнительное исследование. Я не аффилирован ни с одной из этих компаний или продуктов.
Я думаю, что Вы путаете OpenID и другие части Безопасности пользователей. Ваш OP является механизмом аутентификации, не Вашей учетной записью. Здесь на ServerFault, у Вас есть учетная запись. Та учетная запись не имеет никаких средств аутентификации отдельно; кроме Вас указывают на него на один или несколько операция в секунду.
Wheen, в который Вы пытаетесь войти в свою Учетную запись здесь как SF, она просит, чтобы Ваш OP обработал Аутентификацию. Только тот один OP (или несколько операция в секунду, однако у Вас есть он установка), может Аутентифицировать Вас в целях Вашей Учетной записи SF.
Существует три части к типичной системе входа в систему (названы трижды, или просто "AAA"):
- Учет - Отслеживает Ваше имя и информацию, характерную для сайта (как сообщения, сообщения, и т.д.)
- Аутентификация - Отслеживает то, как удостовериться, что это - действительно Вы (обычно пароль)
- Авторизация - дорожка Keeeps Ваших полномочий (доступ для чтения или доступ для записи к различным вещам)
Можно читать больше о системах AAA на Википедию.
-
1Если I' m позволил указывать любой OP каждый раз, когда я вхожу в систему, затем злонамеренный пользователь мог также указать любой OP при попытке взломать мою учетную запись. Таким образом они указывают свой собственный OP и получают доступ. – David 25 March 2010 в 18:18
-
2Нет, you' d просто позволяют им, когда-то вошел в систему, для добавления дополнительных точек OpenID для их учетной записи. ТАКЖЕ - это этот путь. – ceejayoz 25 March 2010 в 19:38
-
3@David при входе в систему в Вас, являются not' t определение учетная запись и OpenID Вы только указывают OpenID. Тот OpenID должен уже быть подключен к учетной записи, иначе Вы получаете опцию создания новой учетной записи (по крайней мере здесь на SF). – Chris S 25 March 2010 в 20:35
OpenID является одной из тех систем, где необходимо доверять конечным точкам. Если RP не защищен, то этот вид отравления ассоциации совершенно возможен. Если RP на самом деле защищен, то этот вид нападения НАМНОГО более тверд. 'Работа вокруг' для того, чтобы не быть уязвимой для этого нападения должна включить принцип локальной защиты (на ServerFault, это было бы представлением Вашего имени пользователя в базе данных бэкэнда) с внешней конечной точкой OpenID (OpenID URL, ServerFault позволяет Вам связывать кратные числа их).
Можно все еще напасть посредством приступа отравления DNS на часть RP, такую, что, скажите, что *.livejournal.com перенаправляется к OP, который Вы особенно обработали для нападения. Но это - приступ отравления DNS, не отказ в самом OpenID. OpenID просто уязвим для отравления DNS.
-
1В этом случае защищенный RP мог стать ненадежным, потому что они предполагают, что OpenID безопасен в и себя. – David 25 March 2010 в 18:15
David, Ваше предположение является ложью. OpenID работает как это: 1) Вы хотите войти в систему для расположения relyingparty.com 2), Вы даете relyingparty.com свой OpenID, например, david.com 3) relyingparty.com проверяет david.com (эй, это - URL) для так называемой конечной точки OpenID, которая может быть найдена по david.com, но через средства делегации также где-то в другом месте, например, yahoo.com или google.com. давайте назовем это davidsopenidprovider.com 4), Вы перенаправляетесь на davidsopenidprovider.com теперь. задание davidsopenidprovider.com состоит в том, чтобы аутентифицировать Вас. Необходимо войти в систему davidsopenidprovider.com. Это до davidsopenidprovider.com, как этот вход в систему работает. Это может быть имя пользователя/пароль, это могут быть информационные карты, сертификаты браузера, цифровые отпечатки, смарт-карты, внеполосные механизмы как проверка вызова... Это до davidsopenidprovider.com, как это обрабатывает аутентификацию. Затем Это спрашивает, хотите ли Вы действительно войти в систему relyingparty.com. 5) Если Вы успешно вошли в систему davidsopenidprovider.com, Вы будете перенаправлены назад на relyingparty.com и автоматически зарегистрированы там. 6) davidsopenidprovider.com только гарантирует relyingparty.com, что Вы - то, кто Вы утверждаете, что Вы. Это не отправляет пароля.
Так Ваше предположение "Как потребитель, Когда я создаю учетную запись на any-site.com, у меня нет понятия интеллекта разработчиков / начальники отделов". ложь в отношении OpenID. Если существует слабое место, это - поставщик, но не any-site.com. Это - проблема с традиционными логинами имени пользователя/пароля теперь. Необходимо доверять каждому сайту, который предлагает логинам тот путь а не только один, поставщика OpenID.
Я надеюсь, что это помогает пониманию OpenID.
Как Вы знаете, что они делают?
Тем же путем Вы знаете, что любой старый сайт передает Ваш пароль кому-то еще - Вы не делаете. Вот почему Вы используете то, что, вероятно, будет уважаемой компанией.
Вы никогда не могли изменять свой OP, также не изменяя Ваш OpenID.
Уверенный Вы можете. Изучите делегацию OpenID.
Моим OpenID является http://ceejayoz.com/, но моим OP является WordPress.com. Два META теги в заголовке http://ceejayoz.com/ позволяют мне делать это, и я могу изменить его каждый раз, когда мне нравится.
Это - то, что я собрал от ответов здесь...
OpenID только так же безопасен как участвующие стороны, и это верно для любого метода аутентификации. Я понял это, прежде чем я запустил это обсуждение.
Проблема с OpenID, поскольку это кажется мне, является двукратной...
Ваш LoginID больше не является секретом, совместно использованным только Вами и сайтом, на котором Вы используете его. Это - Ваш OpenID и известно каждым сайтом, на котором Вы используете его, и что-то легко отгадываемое как адрес электронной почты, или что-то произошло из Вашего адреса электронной почты или чего-то подобного.
RP может реализовать OpenIP на их сайте, не делая должной осмотрительности, предполагающей что, потому что они используют широко принятый 'протокол', что это безопасно. У предоставленных, самых заурядных застройщиков веб-сайта нет истинного понятия того, как защитить сайт, но, если они реализуют свою собственную безопасность, по крайней мере, выпуск № 1 не играет роли.
Как потребитель, Когда я создаю учетную запись на any-site.com, у меня нет понятия интеллекта разработчиков / начальники отделов. Я использую идентификатор, что я не думаю, будет легко отгадываемым. Я не хочу, чтобы serverfault.com знал идентификатор, который я использую для входа в систему в Etrade.com. Я также использую другой пароль на каждом сайте и управляю теми паролями с моей собственной схемой. Очень маловероятно, что моя учетная запись будет состояться, если операторы сайта не будут общими идиотами.
С OpenID все в СЕТИ знают, как это работает и как напасть на него, должен RP не иметь в распоряжении надлежащие меры.
Я люблю программное обеспечение с открытым исходным кодом, но в случае OpenID я думаю, что это открывает возможность, что будут нижние реализации, доступные не подозревающим приемным родителям.
Я думаю, что это могло быть все решено некоторым знаком одобрения со знаком, который уверяет потребителя, что сайт передал аудит и не vurnurable к взломам.
Возможно, я просто параноик.
Вашим открытым является Ваш поставщик. pwnguin.net мой открытый. Это не подвергается предположению, это - просто известный факт. То, что защищает мой открытый, является программным обеспечением, работающим на pwnguin.net, который только отвечает утвердительно, если у рассматриваемого посетителя есть подлинный cookie.
Я не скажу открытый, безопасно; существуют все виды перекрестного сайта, пишущего сценарий, который мог продолжиться, или некоторые приземленные детали, которые я склонен игнорировать или понимать превратно.