1. дома
  2. Вопрос и ответ
  3. Authlogic, выход из системы, учет учетных данных и безопасность

Authlogic, выход из системы, учет учетных данных и безопасность

2010-04-18 3 views
1

Хорошо, это что-то странное. Сегодня у меня установлено приложение authlogic-oid. Все работает отлично, но для одной маленькой неприятности.Authlogic, выход из системы, учет учетных данных и безопасность

Это то, что я сделал:

Я сначала зарегистрироваться с моим Google Вконтакте. Успешный логин, перенаправление и моя электронная почта вместе с моим правильным openid хранятся в моей базе данных. Я рад, что все работает нормально!

Теперь, когда я выхожу из системы, мое приложение rails как обычно разрушает сеанс и перенаправляет меня обратно на мой корневой URL-адрес, где я могу снова войти в систему. Теперь, если я попытаюсь войти в систему, он все еще помнит мой последний идентификатор входа. Не большая проблема, так как я всегда могу «Войти как другой пользователь», но мне интересно, есть ли в любом случае не только выход из моего приложения, но и выход из Google.

Я заметил то же самое, что и система проверки подлинности с переполнением стека.

Почему я так беспокоюсь об этом, вы можете спросить. Но не плохо ли, если ваш веб-приложение, конечный пользователь, находящийся в кибер-кафе, думает, что он вышел из вашего приложения и, следовательно, из своей учетной записи google, чтобы позже понять, что его учетная запись google была взломана некоторыми недостойный неудачник, который только что заметил, что тот, который до него не выходил из Google, не сказал ... изменил пароль!

Должен ли я быть параноиком? Разве это не серьезный провал безопасности при реализации спецификации openid? Вероятно, сегодня кто-то может дать мне обходной путь для этой проблемы, и вопрос решен для меня. Но как насчет других, которые внедрили openid в своих приложениях и не реализовали обходной путь?

источник

2010-04-18 Shripad Krishna

+0

Вам вообще нужно знать текущий пароль или ответ на вопрос безопасности изменить пароль к новенький. –

ответ

3

Если это такая большая проблема, не используйте OpenID или не вывешивайте всплывающее окно DHTML после успешного выхода из системы, напомнив пользователям, что их сеанс по-прежнему действует на их поставщике OpenID.

Что касается OpenID Google, что вы, вероятно, можете сделать перенаправление пользователей через следующий URL после

http://www.google.com/accounts/ClearSID?continue=http%3A%2F%2Fwww.google.com%2Faccounts%2FLogout%3Fcontinue%3Dhttp%3A%2F%2Fwww.google.com%2F

источник

2010-04-18 15:46:20

2

Afaik, вы не можете зарегистрировать пользователя вне учетной записи в другой системе. Предполагается, что ваше приложение будет отвечать только за собственный бизнес. Будучи пользователем, я был бы очень удивлен, если бы сайт с использованием openid мог вывести меня из моей учетной записи google.

Да, существует сценарий, согласно которому пользователь может предположить, что они вышли из системы Google, поскольку они вышли на ваш сайт, но это будет (и должно) быть их собственной ошибкой.

источник

2010-04-18 15:06:34

+0

Я до сих пор не могу переварить ваш ответ. Итак, вы ожидаете, что все пользователи, которые обращаются к вашему веб-приложению, будут знать спецификацию OpenID и убедитесь, что они тоже выходят из Google? Бьюсь об заклад, даже если вы разместите уведомление, сообщающее пользователям, что они выходят из своей учетной записи google, только половина пользователей прочитала бы ее. Я все еще рассматриваю это как серьезную проблему в спецификации. –

+0

И я не могу поверить в то, что, если действительно нет обходного пути к этой проблеме, многие крупные парни (например, google, yahoo и т. Д.) Фактически приняли спецификацию OpenID. Это поставит под угрозу их пользовательскую базу. –

+1

Протокол существует уже 5 лет, и до сих пор нет никаких признаков опасности. Серьезно, я думаю, что это не такая уж большая проблема. –

 Смежные вопросы

  • Нет связанных вопросов^_^