« Week-Log.280
Berlusconi contra The Pirate Bay »

Sun y la inseguridad de OpenID

10.08.08 |

Categoría: WebServices

Pese a que OpenID es una idea interesante, no es una implementación distribuída segura y Sun es el primero en describirlo de un modo bastante claro:

OpenID is an untrusted protocol. Sun has no liability for what happens to any information you give to a third-party web site using this service. Most OpenID-enabled sites are genuine but some may be phishers or other rogues. Sun currently has no way of distinguishing the good sites from the bad. Do not use the OpenID@Work service for any high-value, critical, or Sun proprietary information.

Esa última línea es casi igual a la que uso como respuesta cuando alguien me dice ¿y si uso OpenID? ;)

4 Comentarios a “Sun y la inseguridad de OpenID”

johncross el 12.08.08

No me he puesto mucho con el tema de OpenID, pero era una opcion muy interesante para algun que otro proyecto.
Me acabas de tirar un baldazo de agua fria!
Lo que me pregunto en este momento es que tan seguro sera el servicio del mail de yahoo que implementa OpenID.
En algun momento de procrastinacion me pondre a investigar xD.

rvr el 12.08.08

Pero es que es así por diseño: OpenID es un protocolo de identificación, no de autentificación. No hay ninguna entidad que certifique la identidad.

Esta semana he visto… XXXVIII | Dondado el 14.08.08

[...] sigue perdiendo apoyos, esta vez es Sun quien lo desaconseja.  (Denken [...]

Ballenato el 25.09.08

¡Hey! Eso es como afirmar que “El correo electrónico es inseguro”. Pues depende. Si el servidor implementa autenticación SSL y encima usas cifrado PGP, es bastante difícil que alguien pueda leer tu conversación con la Toñi.

Por otro lado, ¿cuántas veces nos registramos en un sitio y nos envían la contraseña al correo? Si permites eso es porque confías en que tu servidor no te está espiando (que podría).

En el caso de openID es lo mismo, el protocolo es tan seguro como lo sea el servidor.

Si eres de los que se registra con una contraseña distinta y la cambia en cuanto le llega al correo porque no se fía, probablemente openID tampoco sea de confianza para ti. Pero, en ese caso, mejor que uses tu propio servidor de correo en un hosting dedicado, así como tu propio servidor openID, que ahí está la clave, es DESCENTRALIZADO.

Es mi opinión.

Deja un comentario

bienvenidos

Denken Über es mi weblog donde escribo sobre tecnología, estrategias y cosas de internet. Podés comentar en cada artículo o enviarnos noticias o links.

Mas info: Autor | Archivos | Contacto

buscar en denken über

Anuncios por Q

últimos en Celularis

Feeds xml

  • RSS 2.0
  • ATOM

Publicidad