Провайдеры OpenID - что останавливает злонамеренных провайдеров?

Возможное решение - вы все равно можете попросить новые идентификаторы пройти тест CAPTCHA. Точно так же, как боты могут регистрироваться с поддельными / несколькими адресами электронной почты на любом сайте, но также не проходят этап «проверки».

Или нам придется начать ведение черных списков провайдеров? На самом деле они не будут работать очень хорошо, учитывая, насколько тривиально легко создать нового провайдера.

OpenId - это не что иное, как имя пользователя и пароль, которые пользователь выбирает при регистрации на вашем сайте. Вы не полагаетесь на структуру OpenId для отсеивания ботов; ваша система регистрации по-прежнему должна это делать.

Насколько я могу судить, OpenID обращается только к идентификации, а не к авторизации. Остановка ботов - это вопрос авторизации.

Вы перепутали две разные вещи - идентификацию и авторизацию. Просто потому, что вы знаете, кто кто-то такой, это не значит, что вы должны автоматически давать им разрешение на что-либо. Саймон Уиллисон прекрасно освещает это в OpenID - это не учетная запись!. Более подробное обсуждение белых списков доступно в Белый список социальных сетей с OpenID.

Краткий ответ на ваш вопрос: «Нет». OpenID намеренно предоставляет только механизм для централизованного сайта аутентификации; Вам решать, каких провайдеров OpenID вы лично считаете приемлемыми. Например, Microsoft недавно решил разрешить OpenID на своем сайте Healthvault только от нескольких избранных поставщиков. Компания может решить разрешить вход OpenID только из своей точки доступа с поддержкой LDAP, государственное учреждение может принимать OpenID только с сайтов с биометрической поддержкой, а блог может принимать только TypePad из-за их интенсивной проверки на спам.

Похоже, существует большая путаница по поводу OpenID. Его первоначальная цель заключалась в том, чтобы просто предоставить стандартный механизм входа в систему, чтобы, когда мне понадобится безопасный механизм входа в систему, я мог выбрать любого или всех поставщиков OpenID, чтобы справиться с этим за меня. Разрешить кому угодно создать свой собственный доверенный OpenID провайдер никогда не было целью. Эффективное выполнение второго невозможно - в конце концов, даже с шифрованием нет причин, по которым вы не можете настроить своего собственного провайдера, чтобы надежно лгать и утверждать, что он аутентифицирует кого угодно. Наличие единого стандартизированного механизма входа в систему уже само по себе является большим шагом вперед.

Обратите внимание, что в отличие от обычного входа в систему «для каждого сайта», OpenID дает вам идентификационные данные, которые потенциально могут выходить за рамки отдельных сайтов. Более того, это удостоверение даже является URI, поэтому оно идеально подходит для использования с RDF для обмена или запроса произвольных метаданных об удостоверении.

С OpenID можно сделать несколько вещей, которые нельзя сделать с обычным именем нового пользователя.

Во-первых, вы можете выполнить несколько простых операций с белым списком. Если * .bigcorp.example - это идентификаторы OpenID от сотрудников Big Corp, и вы знаете, что Big Corp не спамеры, то вы можете занести эти идентификаторы OpenID в белый список. Это должно работать для полузакрытых сайтов, возможно, это социальный сайт для нынешних и бывших сотрудников.

Хотя лучше, вы можете сделать выводы из других мест, где использовался конкретный OpenID. Предположим, у вас есть карта OpenID со значениями репутации с Stackoverflow.com. Когда кто-то появляется на вашем веб-форуме с OpenID, вы можете увидеть, имеет ли он достойную репутацию в Stackoverflow, и пропустить CAPTCHA или испытательный срок для этих пользователей.