Pese a que OpenID es una idea interesante, no es una implementación distribuída segura y Sun es el primero en describirlo de un modo bastante claro:
OpenID is an untrusted protocol. Sun has no liability for what happens to any information you give to a third-party web site using this service. Most OpenID-enabled sites are genuine but some may be phishers or other rogues. Sun currently has no way of distinguishing the good sites from the bad. Do not use the OpenID@Work service for any high-value, critical, or Sun proprietary information.
Esa última línea es casi igual a la que uso como respuesta cuando alguien me dice ¿y si uso OpenID? ;)
5 respuestas a “Sun y la inseguridad de OpenID”
No me he puesto mucho con el tema de OpenID, pero era una opcion muy interesante para algun que otro proyecto.
Me acabas de tirar un baldazo de agua fria!
Lo que me pregunto en este momento es que tan seguro sera el servicio del mail de yahoo que implementa OpenID.
En algun momento de procrastinacion me pondre a investigar xD.
Pero es que es así por diseño: OpenID es un protocolo de identificación, no de autentificación. No hay ninguna entidad que certifique la identidad.
[…] sigue perdiendo apoyos, esta vez es Sun quien lo desaconseja. (Denken […]
¡Hey! Eso es como afirmar que “El correo electrónico es inseguro”. Pues depende. Si el servidor implementa autenticación SSL y encima usas cifrado PGP, es bastante difícil que alguien pueda leer tu conversación con la Toñi.
Por otro lado, ¿cuántas veces nos registramos en un sitio y nos envían la contraseña al correo? Si permites eso es porque confías en que tu servidor no te está espiando (que podría).
En el caso de openID es lo mismo, el protocolo es tan seguro como lo sea el servidor.
Si eres de los que se registra con una contraseña distinta y la cambia en cuanto le llega al correo porque no se fía, probablemente openID tampoco sea de confianza para ti. Pero, en ese caso, mejor que uses tu propio servidor de correo en un hosting dedicado, así como tu propio servidor openID, que ahí está la clave, es DESCENTRALIZADO.
Es mi opinión.
[…] que muchos no supieron entender (como tampoco se entendió que era una solución de identificación pero no segura), creo que pensar en un sistema de identificación unificado a través de toda internet sigue […]