Du bist nicht angemeldet.

Stilllegung des Forums
Das Forum wurde am 05.06.2023 nach über 20 Jahren stillgelegt (weitere Informationen und ein kleiner Rückblick).
Registrierungen, Anmeldungen und Postings sind nicht mehr möglich. Öffentliche Inhalte sind weiterhin zugänglich.
Das Team von spieleprogrammierer.de bedankt sich bei der Community für die vielen schönen Jahre.
Wenn du eine deutschsprachige Spieleentwickler-Community suchst, schau doch mal im Discord und auf ZFX vorbei!

OpenID

Werbeanzeige

fkrauthan

Supermoderator

  • »fkrauthan« ist der Autor dieses Themas

Beiträge: 979

Wohnort: Vancouver

Beruf: Software engineer

  • Private Nachricht senden

1

15.06.2008, 15:30

OpenID

Hallo,
ich wollte mal fragen was ihr von OpenID haltet. Für alle die nichts wissen ein kurzer auszug aus Wikipedia zu OpenID:

OpenID (engl.: offene Identifikation) ist ein Single-Sign-On-System, welches die übliche Anmeldung mit Benutzername und Passwort ersetzt. Zur Anmeldung zu einer OpenID-unterstützenden Seite wird lediglich eine OpenID-Identität angegeben. Der eigentliche Anmeldeprozess wird dann bei dem zugehörigen OpenID-Provider durchgeführt. Wenn diese Anmeldung erfolgreich war, wird auch die Anmeldung auf der Ausgangsseite vom Server des OpenID-Providers bestätigt.

Der komplette Artikel:
http://de.wikipedia.org/wiki/Openid

Ich persönlich finde diesen Ansatz sau genial und Praktisch und ich fände es gut wenn möglichst viele Webseite auch OpenID Unterstützen würden. Namen hafte Seiten stellen ja auch immer mehr auf OpenID Untersützung um. Beispiel: sf.net oder Yahoo.

MFG,
fkrauthan
Homepage: fkrauthan.de | Browser-game: flowergame.net

Beneroth

Alter Hase

Beiträge: 969

Wohnort: Schweiz

Beruf: Software Entwickler

  • Private Nachricht senden

2

16.06.2008, 00:16

naja. gut als alternative zu dem was Microsoft mit ihrem LiveLogin oder wie das hiess machen wollten.

aber ich mags nicht wenn überall der gleiche dahinter ist und schön daten sammeln kann, da merk ich mir lieber ein passwort oder lass mir ab und zu mal eines wieder neu mailen.

fkrauthan

Supermoderator

  • »fkrauthan« ist der Autor dieses Themas

Beiträge: 979

Wohnort: Vancouver

Beruf: Software engineer

  • Private Nachricht senden

3

16.06.2008, 08:03

Du kannst dir ja einen eigenen openID Server aufsetzen. Dann kann keiner Daten Sammeln.
Homepage: fkrauthan.de | Browser-game: flowergame.net

Nox

Supermoderator

Beiträge: 5 272

Beruf: Student

  • Private Nachricht senden

4

16.06.2008, 18:20

Genau und ich mach ne Proxyseite auf, wo du dann deine Daten abliefern darfst, damit ich alle deine OpenIDs Seiten besuchen kann :P
PRO Lernkurs "Wie benutze ich eine Doku richtig"!
CONTRA lasst mal die anderen machen!
networklibbenc - Netzwerklibs im Vergleich | syncsys - Netzwerk lib (MMO-ready) | Schleichfahrt Remake | Firegalaxy | Sammelsurium rund um FPGA&Co.

fkrauthan

Supermoderator

  • »fkrauthan« ist der Autor dieses Themas

Beiträge: 979

Wohnort: Vancouver

Beruf: Software engineer

  • Private Nachricht senden

5

16.06.2008, 18:28

Nein du verstehst das falsch. Du kannst nicht einfach mein PW oder so mitschneiden. Die Anmeldung an OpenID läuft bei deinem OpenID Server ab. Das heißt z.b. auf meinem Server, da kannste nicht einfach n Proxy darzwischen stellen. Arbeitet euch mal bitte in OpenID ein bevor ihr versucht tausende von sicherheitslücken aufzudecken die es garnicht gibt. Nur Phisching ist eine große gefahr.
Homepage: fkrauthan.de | Browser-game: flowergame.net

Beneroth

Alter Hase

Beiträge: 969

Wohnort: Schweiz

Beruf: Software Entwickler

  • Private Nachricht senden

6

16.06.2008, 19:23

wieso phising? ich kann ja auch nen echten dienst dir anbieten der das verwendet, und schon krieg ich doch auch alle Daten von denen die sich bei mir anmelden.. nur dass ich die dann auch *überall* sonst verwenden kann :badgrin:

fkrauthan

Supermoderator

  • »fkrauthan« ist der Autor dieses Themas

Beiträge: 979

Wohnort: Vancouver

Beruf: Software engineer

  • Private Nachricht senden

7

16.06.2008, 19:26

Ich hab ja meinen eigenen Server wieso sollte ich dan deinen Dienst benutzen ;-) Das ist ja der vorteil. Jeder kann einen eigenen Server für sich betreiben.
Homepage: fkrauthan.de | Browser-game: flowergame.net

Nox

Supermoderator

Beiträge: 5 272

Beruf: Student

  • Private Nachricht senden

8

16.06.2008, 20:01

Ja um die ID zu verwalten. Aber wenn du dich bei einem Dienst anmeldest, schickst du deine ID. So einmal copy&paste und die digitüren stehen offen ;)
PRO Lernkurs "Wie benutze ich eine Doku richtig"!
CONTRA lasst mal die anderen machen!
networklibbenc - Netzwerklibs im Vergleich | syncsys - Netzwerk lib (MMO-ready) | Schleichfahrt Remake | Firegalaxy | Sammelsurium rund um FPGA&Co.

fkrauthan

Supermoderator

  • »fkrauthan« ist der Autor dieses Themas

Beiträge: 979

Wohnort: Vancouver

Beruf: Software engineer

  • Private Nachricht senden

9

16.06.2008, 20:33

Wieder NEIN. Das ist ja nicht so das es ned auch vom Browser auch noch abhängt. Das leigt beim Server wie er das verwaltet. Und wenn du mit einem Browser dich noch nicht angemeldet hast dann musst du dich nochmal neu anmelden. Somit kannst du nicht einfach meine OpenID übernehmen.
Homepage: fkrauthan.de | Browser-game: flowergame.net

Nox

Supermoderator

Beiträge: 5 272

Beruf: Student

  • Private Nachricht senden

10

16.06.2008, 21:18

Ich glaube wir reden gerade aneinander vorbei.

Zitat

For example, a malicious relying party may forward the end-user to a bogus identity provider authentication page asking that end-user to input their credentials. On completion of this, the malicious party (who in this case also control the bogus authentication page) could then have access to the end-user's account with the identity provider, and as such then use that end-user’s OpenID to log into other services.

http://en.wikipedia.org/wiki/OpenID#Criticism

bzw. die Funktionsweise laut wiki:

Zitat

If the user accepts the identity provider's request to trust the relying party web site, the browser is redirected to the designated return page on the relying party web site along with the user's credentials. That relying party must then confirm that the credentials really came from the identity provider. If they had previously established a shared secret (see above), the relying party can validate the shared secret received with the credentials against the one previously stored. Such a relying party is called stateful because it stores the shared secret between sessions. In comparison, a stateless or dumb relying party must make one more background request (check_authentication) to ensure that the data indeed came from the identity provider.

After the OpenID identifier has been verified, OpenID authentication is considered successful and the user is considered logged in to the relying party web site with the given identifier (e.g. alice.openid.example.org). The web site typically then stores the OpenID identifier in the user's session.


Auch interessant finde ich die fussnoten 42 und 44. Zu guter letzt noch http://openid.net/specs/openid-authentication-2_0.html#anchor41 .
Also wenn ich die Quellen richtig verstehe, sind einige Variationen von Angriffen mögich. u.a. Proxyseite und Pishing. Wobei in der Doku durchaus darauf verwiesen wird, dass man einige Schwachstellen durch entsprechende Sicherheitsmaßnahmen umschiffen kann...
PRO Lernkurs "Wie benutze ich eine Doku richtig"!
CONTRA lasst mal die anderen machen!
networklibbenc - Netzwerklibs im Vergleich | syncsys - Netzwerk lib (MMO-ready) | Schleichfahrt Remake | Firegalaxy | Sammelsurium rund um FPGA&Co.

Werbeanzeige