Является ли хорошей идеей реализовать сервисы OpenID во внутренних и /или клиентских приложениях?

Я обсуждал с моими коллегами вопрос о входе в систему, используя вашу учетную запись OpenID, учетную запись Google и т. д. в наших клиентах CMS и /или внутренних системах, которые мы используем, поскольку у нас было несколько запросов относительно этого как от существующих клиентов и новых.

Каковы ваши подходы к этому? Это плохая идея? Особенно для наших клиентов, в своих индивидуальных системах управления контентом? Я действительно думаю, что это может быть серьезной проблемой безопасности, но может ли обычный логин, предоставленный нами, в реальности быть такой же угрозой безопасности?

1 голос | спросил soerenn 24 MaramThu, 24 Mar 2011 01:21:40 +03002011-03-24T01:21:40+03:0001 2011, 01:21:40

1 ответ


1

Если ваши клиенты хотят это сделать, это определенно спасает вас от работы и риска реализации вашей собственной аутентификации и требует от пользователей запоминания еще одного пароля. Другое дело, что только потому, что вы поддерживаете протокол OpenID, это не значит, что вы должны принять любую аутентификацию. Так что, возможно, ваш клиент устраивает Google, но не Yahoo по какой-то причудливой причине. Затем вы можете ограничить приложение только использованием доверенных идентификационных реестров.

Я бы сказал, что уязвимости в системе обычно более распространены и их легче использовать, кроме кражи учетных данных. Десять лучших OWASP - хорошее резюме наиболее распространенных проблем. Например, если ваше управление сеансом плохое, то не имеет значения, как пользователи будут входить с точки зрения безопасности.

ответил Jeremy 24 MaramThu, 24 Mar 2011 05:35:32 +03002011-03-24T05:35:32+03:0005 2011, 05:35:32

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132