Re:本当は怖いOpenIDによる認証 - 日向夏特殊応援部隊

このエントリはmitani1207の日記の返信です。 OpenIDによる認証を受け入れるということは、自分のサイトのIDとパスワードの管理を外部サイトに委託することになる。 外部サイトがパスワードをどう管理しているかはわからない。もしかしたら、生でDBに保存してあって、管理者がSELECT * FROM USER_TABLEとかで簡単にとれちゃったりするかもしれない。これは課金情報やプライベートなデータを扱っているサイトにとっては心配だ。 この前提は同感ですね。 OP(IdP)がどのような管理を行っているかなんて、利用者あるいはRP(Consumer)からは判断のしようが無いですからね。 でこの辺りの話は手前味噌ですが、@ITでのOpenIDの連載で書かせて頂きました。 OpenIDをとりまくセキュリティ上の脅威とその対策 (3/3)：OpenIDの仕様と技術（4） - ＠IT にある、「

[ZIGOROu]

ああ、確かに。訂正しますね ＞ id:machuさん

[watanata2000]

OpenID 認証 検討ポイント？

[bopperjp]

RPが得体の知れないOPの認証だけで重要な処理(課金等)を実行可能に(認可)すべきでないというお話。

[setamise]

極めて妥当。

[tksmd]

reputation に関しては難しそう/アプリ側でホワイトリストがやはり現実的か

[toshi123]

セキュリティを考えると便利100％とは行かないのが世の常。

[kkobayashi]

アカウントとOpenIDを紐づけて、そのアカウントだけOpenIDの認証を可能にするらしい。やっぱりそういう折衷案が妥当なのかなあ。参考にしよう。

[hiro_y]

OpenIDを発行しているサイトが信頼できるかどうか。

[shidho]

構築側だけでなく、自分が情報を預ける時にも言える話。

[se-mi]

セキュリティ面からみたOpenIDの使い方

[HolyGrail]

みたにっちのエントリに返信

[kmachu]

「Consumerは規格上は全てのOP(IdP)からの認証結果を受け入れねばなりません」←そうだっけ？特に規程がないだけな気がした。 / ちなみに kmachu ですｗ machu はなぜか既に取られてた…。

[teahut]

センシティブなデータを取り扱うサイトは必ず会員登録は行うべき