2007년 07월 23일

더 안전한 OpenID를 위한 팁

title; Strategies for Making OpenID More Secure
link; http://blog.pingidentity.com/blog/default/2007/07/13/Strategies-for-Making-OpenID-More-Secure

PingID의 웹세미나입니다. 요즘 국내에서도 여러 업체들이 OpenID를 적용하기 시작하는데, 단순히 오픈된 라이브러리를 적용하시지는 않겠죠. OpenID를 서비스하기 위해서는 여러 보안 요소를 고려해야 합니다. 이 웹세미나에서는 PingID가 OpenID 프로바이더인 http://SignOn.com 을 개발하면서 고려된 보안 이슈를 공유합니다.

서비스를 제공할 때에는 신뢰(Trust)에 대한 문제를 고려해야 되겠죠. OpenID 컨슈머인 경우, 아무리 OpenID가 오픈되어 있다고 해도 해커가 만든 OpenID 프로파이더의 접근을 허가할 필요는 없습니다. 하지만 선택적으로 받아들이기 위해서는 신뢰 관리를 해야하죠. 제가 OpenID와 관련해서 처음부터 해 왔던 이야기입니다.

세미나에서 소개하는 보안 고려 사항으로는 Trust Rooted in DNS, OpenID Discovery, OpenID Association, MAC key Validity Period, Phishing Attack, No Authentication Context, OpenID Response, Session Hijacking 이 있습니다. 대부분은 SSL 사용만으로도 해결될 수 있다고 하네요. 하지만 수천, 수만의 사용자들에게 SSL을 제공하는게 말처럼 쉬운 일은 아닐 것입니다.

참, SAML과 달리 OpenID는 인증 메커니즘에 대한 명시를 할 수 없습니다. IDPia에서 OTP로 로그인하든, 제가 만든 OpenID 프로바이더에서 로그인 하든, 익명 OpenID 프로바이더를 사용하든 똑같다는 것이죠. 이와 관련하여 OpenID 2.0 확장 스펙에서 PAPE 드래프트가 있다고 합니다. 방금 찾아보니, OpenID Provider Authentication Policy Extention 1.0 드래프트가 검색되는군요. 1개월 전에 작성되었습니다. 스펙을 읽고 관련 포스팅을 올리겠습니다.

이 글과 관련있는 글을 자동검색한 결과입니다 [?]

by S_H_Kim | 2007/07/23 12:29 | 기타 ID 동향 | 트랙백

◀ 이전 페이지다음 페이지 ▶