Провайдеры OpenID - что останавливает злонамеренных провайдеров?

Вы перепутали две разные вещи - идентификацию и авторизацию. Просто потому, что вы знаете, кто кто-то такой, это не значит, что вы должны автоматически разрешать им что-либо делать. Саймон Уиллисон прекрасно освещает это в OpenID - это не учетная запись! Более подробное обсуждение белых списков доступно в белом списке социальных сетей с OpenID.

Краткий ответ на ваш вопрос: «Нет». OpenID намеренно предоставляет только механизм для централизованного сайта аутентификации; Вам решать, каких провайдеров OpenID вы лично считаете приемлемыми. Например, Microsoft недавно решила разрешить OpenID на своем сайте Healthvault только из избранных несколько провайдеров. Компания может принять решение разрешить вход OpenID только со своей точки доступа с поддержкой LDAP, государственное учреждение может принимать OpenID только с сайтов с биометрической поддержкой, а блог может принимать только TypePad из-за их интенсивной проверки на спам.

Похоже, существует большая путаница по поводу OpenID. Его первоначальная цель заключалась в том, чтобы просто предоставить стандартный механизм входа в систему, чтобы, когда мне понадобится безопасный механизм входа в систему, я мог выбрать любого или всех поставщиков OpenID, чтобы справиться с этим за меня. Разрешить кому угодно создать своего собственного доверенного OpenID провайдера никогда не было целью. Эффективное выполнение второго невозможно, в конце концов, даже с шифрованием нет причин, по которым вы не можете настроить своего собственного провайдера, чтобы надежно лгать и говорить, что он аутентифицирует кого угодно. Наличие единого стандартизированного механизма входа в систему уже само по себе является большим шагом вперед.

OpenId - это не что иное, как имя пользователя и пароль, которые пользователь выбирает при регистрации на вашем сайте. Вы не полагаетесь на структуру OpenId для отсеивания ботов; ваша система регистрации по-прежнему должна это делать.

Возможное решение - вы все равно можете попросить новые идентификаторы пройти тест CAPTCHA. Точно так же, как боты могут регистрироваться с поддельными / несколькими адресами электронной почты на любом сайте, но также не проходят этап «проверки».

Или нам придется начать ведение черных списков провайдеров? На самом деле они не будут работать очень хорошо, учитывая, насколько легко создать нового провайдера.

Насколько я могу судить, OpenID обращается только к идентификации, а не к авторизации. Остановка ботов - вопрос авторизации.

Обратите внимание, что в отличие от обычного входа в систему «на сайт», OpenID дает вам идентификацию, которая потенциально выходит за рамки отдельных сайтов. Более того, этот идентификатор даже является URI, поэтому он идеально подходит для использования с RDF для обмена или запроса произвольных метаданных об идентификаторе.

С OpenID можно сделать несколько вещей, которые нельзя сделать с обычным именем нового пользователя.

Во-первых, вы можете выполнить несколько простых операций с белым списком. Если * .bigcorp.example - это идентификаторы OpenID от сотрудников Big Corp и вы знаете, что Big Corp не спамеры, то вы можете занести эти идентификаторы OpenID в белый список. Это должно хорошо работать для полузакрытых сайтов, возможно, это социальный сайт для нынешних и бывших сотрудников.

Хотя лучше, вы можете сделать выводы из других мест, где использовался конкретный OpenID. Предположим, у вас есть карта OpenID со значениями репутации с Stackoverflow.com. Когда кто-то появляется на вашем веб-форуме с OpenID, вы можете увидеть, имеет ли он достойную репутацию в Stackoverflow, и пропустить CAPTCHA или испытательный срок для этих пользователей.