2007년 03월 06일
OpenID의 문제#3
title; The open disagreements within OpenID
link; http://www.networkworld.com/newsletters/dir/2007/0305id1.html
Networkworld의 Dave Kearns가 OpenID를 비판하는 기사를 올렸습니다. 지난 달에도 유사한 기사를 올렸죠. OpenID는 갈수록 커져만 가는 문제에도 불구하고 장밋빛 미래만을 제시하고 있다(OpenID shows much promise, despite growing pains)고 비판했었습니다
올해 초부터 스팸, 피싱, Man-In-The-Middle 공격과 같은 문제에 OpenID가 취약할 수 있다는 의혹들이 제기되고 있습니다. OpenID는 워낙 간단한 아이디어로 이루어져 있으며 초기부터 여러가지 시나리오를 커버하도록 설계되어 있지 않기 때문에 보안 문제가 제기되는 것은 시간 문제였습니다. 2.0 스펙에서는 여러 다른 표준들과 연동하는 부분과 신뢰 부분 등을 추가하기로 했었죠.
하지만 Dave는 OpenID가 갈수록 덩치를 키우는 과정에서 문제가 생길 수 있다고 말합니다. 저는 이전 포스팅에서 '애매한 포지셔닝'이라는 제목을 사용했습니다. 블로그에 덧글다는 용도로만 OpenID를 사용한다면 너무 비효율적이죠. 2.0 스펙에서 지원할 기능들은 다른 표준에서 이미 제공하는 기능이 대부분입니다. 그리고 버전이 높아질수록 이전 버전과의 호환성(backward compatiability)을 보장하기 어려워집니다. 제 생각으로는 OpenID에 신뢰 모델을 추가하는 정도로 완성도를 높이는 것이 좋다고 생각하지만, OpenID는 social networking 분야에서 요구하는 다양한 기능을 모두 제공하려고 합니다.
link; http://www.networkworld.com/newsletters/dir/2007/0305id1.html
Networkworld의 Dave Kearns가 OpenID를 비판하는 기사를 올렸습니다. 지난 달에도 유사한 기사를 올렸죠. OpenID는 갈수록 커져만 가는 문제에도 불구하고 장밋빛 미래만을 제시하고 있다(OpenID shows much promise, despite growing pains)고 비판했었습니다
올해 초부터 스팸, 피싱, Man-In-The-Middle 공격과 같은 문제에 OpenID가 취약할 수 있다는 의혹들이 제기되고 있습니다. OpenID는 워낙 간단한 아이디어로 이루어져 있으며 초기부터 여러가지 시나리오를 커버하도록 설계되어 있지 않기 때문에 보안 문제가 제기되는 것은 시간 문제였습니다. 2.0 스펙에서는 여러 다른 표준들과 연동하는 부분과 신뢰 부분 등을 추가하기로 했었죠.
하지만 Dave는 OpenID가 갈수록 덩치를 키우는 과정에서 문제가 생길 수 있다고 말합니다. 저는 이전 포스팅에서 '애매한 포지셔닝'이라는 제목을 사용했습니다. 블로그에 덧글다는 용도로만 OpenID를 사용한다면 너무 비효율적이죠. 2.0 스펙에서 지원할 기능들은 다른 표준에서 이미 제공하는 기능이 대부분입니다. 그리고 버전이 높아질수록 이전 버전과의 호환성(backward compatiability)을 보장하기 어려워집니다. 제 생각으로는 OpenID에 신뢰 모델을 추가하는 정도로 완성도를 높이는 것이 좋다고 생각하지만, OpenID는 social networking 분야에서 요구하는 다양한 기능을 모두 제공하려고 합니다.
One major fault-line in OpenID is the transition from the 1.0 spec (which was, essentially, a way to combat comment-spam in blogs) to the full-blown identity service that’s embodied in the 2.0 spec안전을 보장하지 못한다면, 기능이 아무리 많아봤자 무슨 의미가 있겠습니까? OpenID의 스펙에 따르면, 해당 사용자가 인증된 사용자라는 사실은 보장하지만, 어느 수준으로 인증받았는지에 대한 내용은 전달되지 않습니다. SAML에는 Authentication Context라는 부분이 있기 때문에 보안 수준을 서로 협의할 수 있게 되어있죠. Dave가 언급하는 security mechanisms은 아마 이런 측면이 아닐까 추측해 봅니다.
It raises the question that, without defined security mechanisms can any relying party actually rely on the trustworthiness of the OpenID provider invoked by a user?이니텍은 조만간에 Strong Authentication을 제공하는 OpenID 서버를 오픈한다고 합니다. 이니텍의 OpenID 서버에서 인증을 거치더라도, 익명 OpenID서버에서 계정을 만든 사용자와 차이를 알 수 없다는 문제가 있지 않을까요? 이에 대한 OpenID 측의 방안을 조사해 봐야 하겠습니다.
# by | 2007/03/06 10:05 | 기타 ID 동향 | 트랙백(1) | 덧글(2)
제목 : 326. 이글루 주소로 오픈아이디 사용
내이글루 주소를 OpenID로 사용하세요 (@ EBC) 가입형 블로그 서비스에서는 최초로 내 블로그의 주소를 OpenID로 이용할 수 있도록 제공하게 되었습니다. 요거 해보니까 가입형에서는 최초이지 않나 싶다..(제대로다 ^^) 현재 일반적으로 적용되어 있는 openID 중에서 설치형 이외에는 ***.myid.net, ***.openid.net의 인증서버 주소가 사용되어 지는데 (물론 피사용자 인증을 받아서 닉네임으로 변경할수는 있......more