2007년 01월 24일

신뢰가 부족한 OpenID #2

저만 OpenID의 피싱 문제나 스팸 문제를 생각하는 줄 알았는데, 역시나 세상은 넓은가 봅니다. OpenID 측에서도 메일링리스트를 통해 활발히 문제를 논의하고 있고(http://openid.net/pipermail/general/2007-January/thread.html#1207), 이창희님(http://guldook.blogspot.com/2007/01/openid.html)과 류근우님(http://updong.net/wordpress/archives/58) 과 같은 분이 이 문제를 언급하셨습니다.

UsableSecurity의 Ka-ping Yee씨는 simon의 제안에 더해서 Referer 헤더를 가진 request에 대해서만 로그인페이지를 보여주지 말자고 제안을 향상시켰고(http://usablesecurity.com/2007/01/20/phishing-and-openid/), Sxip의 Martin은 Group Membership 프로토콜을 제안(http://openid.net/wiki/index.php?title=Group_Membership_Protocol&redirect=no)했습니다.

이후에 simon씨는 사람들이 유지하는 whitelist를 통해서 해결하자는 제안을 했습니다(http://simonwillison.net/2007/Jan/22/). 즉, 우리가 믿는 OpenID provider/consumer whitelist를 만들자는 것이지요.

이창희님이 일목 요연하게 정리해 주셨고, 현재까지 도출된 대응방안을 소개하셨습니다. Referer 헤더는 충분히 삭제해서 전달할 수 있기 때문에 그다지 효과는 없을 것 같고, 그룹 멤버쉽 프로토콜과 whitelist에 대한 방안은 고려해 볼 만합니다.

다음 포스팅에서는 이들 방법에 대한 장단점 비교와 제가 생각한 해결 방법을 올리겠습니다.

tag; , , , ,

이 글과 관련있는 글을 자동검색한 결과입니다 [?]

by S_H_Kim | 2007/01/24 09:54 | CardSpace | 트랙백 | 덧글(4)

Commented by 이창희 at 2007/01/24 10:00
기대됩니다. 다음 번에는 행자부(SAML), 아이핀, 실명확인 등을 어떻게 통합할 것인가에 대한 논의들을 상황도 알려주시면 좋을 듯...
Commented by S_H_Kim at 2007/01/24 10:02
너무 방대한 내용이네요^^; 입장이 정리되면 하나씩 올리겠습니다~
Commented by 류근우 at 2007/01/26 00:30
네 놀랍게도 myopenid.com 이 아주 빠른 대처를 보여주고 있습니다.

http://kveton.com/blog/2007/01/24/myopenid-new-anti-phishing-tools-available/

결국 JanRain 의 대표이사인 Scott Kveton 의 포스팅처럼.

야후의 Sign-In Seal 과 비슷한 브라우저 쿠키에 연결된 Personal Icon 과

직접 Navigate 하도록 유도하는 SafeSignIn 기능이 추가됬습니다.

훌륭하네요 물론 myid.net도 열심히 준비중이겠죠?
Commented by S_H_Kim at 2007/01/26 14:54
/류근우님, openid 메일링리스트를 보면서 논의된 내용을 살펴보니 야후의 Sign-in seal 방법이 가장 괜찮은 것 같더군요^^;

혹시 sign-in seal 방법에 IPR이 걸렸는지 아시나요? 갑자기 궁금해지네요.

그리고 myid.net도 빠른 대처를 보였으면 더할 나위 없겠습니다~
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지다음 페이지 ▶