昨天,Mozilla 宣布了基于Verified Email Protocol的BrowserID 身份验证系统。它看起来很漂亮,但它安全吗?
立即想到的一个问题是,似乎任何可以访问我的浏览器的人都可以以我的身份登录。这也是在浏览器中存储凭据的问题,除了我可以逐个站点做出决定。BrowserID 是全有还是全无?
是否还有其他潜在的安全漏洞?
问问题
523 次
2 回答
2
这不是您问题的直接答案,但“安全”堆栈交换站点中有线程,讨论相同
于 2011-12-27T18:32:57.737 回答
1
我最终找到了Daniel对BrowserId/Persona 和 WebID的第三次问答的贡献。我发现这个答案最有帮助。(我试图说服他在这里发帖,但他建议我这样做。)
Michael Hackett 和 Kirstie Hawkey的联合身份的安全、隐私和可用性要求提供了 WebID 和 Mozilla Persona 之间的比较,当时仍称为 BrowserID。
注意到的主要区别(在表 1 中)是:
- 角色密钥是短暂的,应该用密码保护。WebID 密钥寿命很长,但可以很容易地从受密码保护的配置文件中禁用。
- 当前的 Persona 实现使用标准浏览器窗口,因此很难发现欺骗(一旦浏览器获得原生 Persona 支持,这可能会改变)。WebID 使用浏览器本机证书选择 UI,因此没有网络钓鱼的机会。
- 如果失去对所有者电子邮件/URI 的控制权,则 Persona 和 WebID 身份都可能受到损害。
- Persona IdP 不了解使用身份的 SP。WebID IdP 知道每个使用身份的 SP。
- 如果 Persona SP 缓存了 IdP 的公钥,并且浏览器仍然有有效的证书,它应该仍然可以验证身份。WebID 配置文件必须是可访问的,否则身份将无法使用。
- Persona 具有良好的 UX 设计,而 WebID 则相反。
我建议阅读论文以获取更多详细信息。它可在线免费获取,无需访问数字图书馆。
于 2013-03-03T21:34:52.447 回答