2007년 06월 13일

OpenID의 보안, 신뢰

title; Security Now! OpenID
link; http://www.grc.com/sn/SN-095.pdf

OpenID의 보안에 대해 많은 대화가 나누어질 줄 알고 읽었는데, 너무 적어서 실망했습니다.

OpenID는 사용자를 RP에서 IDP로 redirect 시키는 방식만을 사용하기 때문에 2가지 공격을 우려할 수 있습니다.

1. RP가 사용자를 악의적인 IDP로 이동시키는 경우
    - IDP의 주소를 직접 확인하는 방법, MS의 CardSpace와 같은 보조 app를 이용하는 방법이 있습니다.
2. 사용자가 IDP에 정상적으로 로그인한 것처럼 RP를 속일 경우 
    - OpenID 프로토콜에서 검증됩니다.

이건 사소한 이슈들이죠..

인터뷰 말미에서 trust에 대한 내용이 나왔습니다. 제가 OpenID와 관련해서 항상 불평하는 내용이죠.

STEVE:  Yeah, it’s one of the things that the OpenID system identifies itself, and it’s very clear to explain, that this is about identity, not trust.

LEO:  Now, I just want to underscore - and you said this, but I want to say it again.  This is not identity verification in any way.  You can create an OpenID that says you’re Steve Gibson.  It’s just a way of having a single password for all the sites you visit.  It’s not like a PGP signature.  There’s no web of trust, as you point out.  There’s no verification.


AOL이나 Daum, Sun 과 같은 사이트에서 OpenID를 도입하는 것은, 기존에 구축된 신뢰를 기반으로 OpenID를 사용하면 어떤 효과를 가지고 올 수 있을지를 예상할 수 있게 합니다. Sun이 자사의 직원들에게 부여되는 OpenID를 통해 파트너 사이트와 연계를 하겠다고 발표한 것처럼, Daum에서도 자사의 OpenID를 사용하는 사용자에게 특별한 혜택을 부여할 수 있습니다. 예전에 실패한 프로젝트였지만, Daum Sign이 지향했던 목표를 OpenID로 이룰 수 있겠죠.

이 글과 관련있는 글을 자동검색한 결과입니다 [?]

by S_H_Kim | 2007/06/13 11:29 | 기타 ID 동향 | 트랙백

◀ 이전 페이지다음 페이지 ▶