Hallo Team,
als OpenID neu war, fand ich es klasse. Jetzt wollte ich OpenID gerade bei easy-coding einbauen und dementsprechend habe ich das erste mal wirklich darüber nachgedacht.
OpenID ist ein schönes Single Sign On Verfahren, aber Tatsache ist, dass es für Spamrobots die einfachste Möglichkeit ist das obligatorische Captcha der Registrierung zu umgehen.
Jeder Hobby Webmaster kann neben dem OpenID Client um Logins via Google zu erlauben, auch selbst einen OpenID Server betreiben und damit selbst die Rolle von Google einnehmen.
Aber nur weil mir ein beliebiger Server, der das OpenID Protokoll implementiert sagt, dass es den Benutzer gibt, heißt das noch lange nicht, dass die Domain/der Benutzer vertrauenswürdig ist.
Ich habe in keiner OpenID Implementierung Ansätze gefunden bestimmte OpenID Server zu whitelisten. Ich habe zwar ein paar Artikel zeigen, die auch auf das Problem eingehen, aber so lange es dafür keinen Standard Tool Support gibt, wird die wohl auch keiner nutzen.
Meine Empfehlung also fürs erste:
Google, Yahoo, etc als "trusted server" sofort erlauben.
Alle anderen OpenID Server nur in Kombination mit einem Captcha reinlassen.
Ich werde vermutlich nicht so praktiv rangehen und die OpenID Libraries durch Whitelist und beliebige Sicherheitsfunktionen aufblähen, aber auf easy-coding wird es das geben.
Nutzt ihr OpenID bzw seid ihr euch über das Spamproblem bewusst?
Lg
als OpenID neu war, fand ich es klasse. Jetzt wollte ich OpenID gerade bei easy-coding einbauen und dementsprechend habe ich das erste mal wirklich darüber nachgedacht.
OpenID ist ein schönes Single Sign On Verfahren, aber Tatsache ist, dass es für Spamrobots die einfachste Möglichkeit ist das obligatorische Captcha der Registrierung zu umgehen.
Jeder Hobby Webmaster kann neben dem OpenID Client um Logins via Google zu erlauben, auch selbst einen OpenID Server betreiben und damit selbst die Rolle von Google einnehmen.
Aber nur weil mir ein beliebiger Server, der das OpenID Protokoll implementiert sagt, dass es den Benutzer gibt, heißt das noch lange nicht, dass die Domain/der Benutzer vertrauenswürdig ist.
Ich habe in keiner OpenID Implementierung Ansätze gefunden bestimmte OpenID Server zu whitelisten. Ich habe zwar ein paar Artikel zeigen, die auch auf das Problem eingehen, aber so lange es dafür keinen Standard Tool Support gibt, wird die wohl auch keiner nutzen.
Meine Empfehlung also fürs erste:
Google, Yahoo, etc als "trusted server" sofort erlauben.
Alle anderen OpenID Server nur in Kombination mit einem Captcha reinlassen.
Ich werde vermutlich nicht so praktiv rangehen und die OpenID Libraries durch Whitelist und beliebige Sicherheitsfunktionen aufblähen, aber auf easy-coding wird es das geben.
Nutzt ihr OpenID bzw seid ihr euch über das Spamproblem bewusst?
Lg