몇시간전에 soulfree.net 분양블로그에 OpenID를 지원해보겠다는 포스팅을 했습니다...
그런데...
여러모로 조사해본결과 Open ID는 유용했습니다만... 심각한 보안 문제를 아직 가지고 있네요...
우선 저의 조사한 자료를 보시면 아시겠습니다만,
Relying Party서비스에서 리다이렉션을 사용해 OpenID 인증 서버에
입력한 OpenID와 패스워드를 전송하게 됩니다.
그런데 여기서 과연 Relying Party서비스가 올바른 OpenID 인증서버로 리다이렉션 하느냐 문제입니다.
결국 피싱 문제가 걸립니다...
아마 이부분은 OpenID 인증서버를 제공하는 업체에서 그 목록을 만들고
사용자가 미리 사용하려는 Relying Party서비스가 OpenID 인증서버를 제공하는 업체와 인증관계를 맺고있다는 확인이 필요합니다.
로그인 못지않게 귀찮을 우려가 있네요..
또 하나의 문제는...
패스워드와 아이디를 하나로 하는 인증 메커니즘을 가지게 되는데...
이 중앙 집중식이라는 게 무서운게 아닐까요...
장기에서 장군 치는 이유가 뭐겠습니까...
패스워드가 공개되는 날이면 모든 보안이 뚫립니다...
OpenID의 본연의 장점외에 느끼는 장점이라고 하기엔 아직
"MS등과 같은 유명 기업들이 OpenID를 지원하겠다 그래서 미리 익숙해져야한다"이정도 뿐입니다...
아직 너무 장점보다 단점이 크네요.
그러나 주민등록증과 같은 넷공간에서의 자기 자신을 인증할 수 있는 OpenID는 중단되어서 안되고
새로운 패러다임을 개발하고 받아들여서
더욱 개선되어야 하겠습니다.
개념의식없는 무차별적인 악플과 변질된 정보공유의 세계가 종식되고
익명성의 장점과 실명성의 장점이 공존하는 넷공간이 되기위해서는
OpenID의 발전은 하루빨리 이루어지길 기다려지는 일입니다.
그런데...
여러모로 조사해본결과 Open ID는 유용했습니다만... 심각한 보안 문제를 아직 가지고 있네요...
우선 저의 조사한 자료를 보시면 아시겠습니다만,
Relying Party서비스에서 리다이렉션을 사용해 OpenID 인증 서버에
입력한 OpenID와 패스워드를 전송하게 됩니다.
그런데 여기서 과연 Relying Party서비스가 올바른 OpenID 인증서버로 리다이렉션 하느냐 문제입니다.
결국 피싱 문제가 걸립니다...
아마 이부분은 OpenID 인증서버를 제공하는 업체에서 그 목록을 만들고
사용자가 미리 사용하려는 Relying Party서비스가 OpenID 인증서버를 제공하는 업체와 인증관계를 맺고있다는 확인이 필요합니다.
로그인 못지않게 귀찮을 우려가 있네요..
또 하나의 문제는...
패스워드와 아이디를 하나로 하는 인증 메커니즘을 가지게 되는데...
이 중앙 집중식이라는 게 무서운게 아닐까요...
장기에서 장군 치는 이유가 뭐겠습니까...
패스워드가 공개되는 날이면 모든 보안이 뚫립니다...
OpenID의 본연의 장점외에 느끼는 장점이라고 하기엔 아직
"MS등과 같은 유명 기업들이 OpenID를 지원하겠다 그래서 미리 익숙해져야한다"이정도 뿐입니다...
아직 너무 장점보다 단점이 크네요.
그러나 주민등록증과 같은 넷공간에서의 자기 자신을 인증할 수 있는 OpenID는 중단되어서 안되고
새로운 패러다임을 개발하고 받아들여서
더욱 개선되어야 하겠습니다.
개념의식없는 무차별적인 악플과 변질된 정보공유의 세계가 종식되고
익명성의 장점과 실명성의 장점이 공존하는 넷공간이 되기위해서는
OpenID의 발전은 하루빨리 이루어지길 기다려지는 일입니다.
