Search

'openid전망'에 해당되는 글 1건

  1. 2007.07.27 OpenID 쓰기에는 아직 시기상조일까?? (3)

OpenID 쓰기에는 아직 시기상조일까??

2007. 7. 27. 16:21 Posted by soulfree >동네청년<
몇시간전에 soulfree.net 분양블로그에 OpenID를 지원해보겠다는 포스팅을 했습니다...

그런데...

여러모로 조사해본결과 Open ID는 유용했습니다만... 심각한 보안 문제를 아직 가지고 있네요...

우선 저의 조사한 자료를 보시면 아시겠습니다만,

Relying Party서비스에서 리다이렉션을 사용해 OpenID 인증 서버에

입력한 OpenID와 패스워드를 전송하게 됩니다.

그런데 여기서 과연 Relying Party서비스가 올바른 OpenID 인증서버로 리다이렉션 하느냐 문제입니다.

결국 피싱 문제가 걸립니다...



아마 이부분은 OpenID 인증서버를 제공하는 업체에서 그 목록을 만들고

사용자가 미리 사용하려는 Relying Party서비스가 OpenID 인증서버를 제공하는 업체와 인증관계를 맺고있다는 확인이 필요합니다.

로그인 못지않게 귀찮을 우려가 있네요..



또 하나의 문제는...

패스워드와 아이디를 하나로 하는 인증 메커니즘을 가지게 되는데...

이 중앙 집중식이라는 게 무서운게 아닐까요...

장기에서 장군 치는 이유가 뭐겠습니까...

패스워드가 공개되는 날이면 모든 보안이 뚫립니다...



OpenID의 본연의 장점외에 느끼는 장점이라고 하기엔 아직

"MS등과 같은 유명 기업들이 OpenID를 지원하겠다 그래서 미리 익숙해져야한다"이정도 뿐입니다...

아직 너무 장점보다 단점이 크네요.



그러나 주민등록증과 같은 넷공간에서의 자기 자신을 인증할 수 있는 OpenID는 중단되어서 안되고

새로운 패러다임을 개발하고 받아들여서

더욱 개선되어야 하겠습니다.

개념의식없는 무차별적인 악플과 변질된 정보공유의 세계가 종식되고

익명성의 장점과 실명성의 장점이 공존하는 넷공간이 되기위해서는

OpenID의 발전은 하루빨리 이루어지길 기다려지는 일입니다. 

'' 카테고리의 다른 글

이왕사는거 제대로 함 사볼까.  (0) 2007.08.07
▶謹弔◀ 祖父喪  (1) 2007.07.30
OpenID 쓰기에는 아직 시기상조일까??  (3) 2007.07.27
soulfree.net OpenID 서비스 예정...  (0) 2007.07.27
인간관계!!  (0) 2007.07.15
자가용이 있었으면 좋겠다  (0) 2007.07.10

댓글을 달아 주세요

  1. Kay 2007.07.30 18:00  댓글주소  수정/삭제  댓글쓰기

    몇가지 오해가 있으십니다.
    우선, 피싱문제는 분명히 있지만, 표현에 부정확한 부분이 있습니다.
    "Relying Party서비스에서 리다이렉션을 사용해 OpenID 인증 서버에 입력한 OpenID와 패스워드를 전송하게 됩니다."
    >> 틀렸습니다. RP 에서 인증의뢰 목적으로 인증서버로 리다이렉션하면, 사용자는 인증서버가 제공하는 UI 와 방식(보통 패스워드입력) 으로 인증하는 것입니다. 따라서, 비밀번호는 절대 RP 를 경유하지 않습니다. 가능한 피싱 방법은, 악의적인 RP 가 특정 인증서비스의 로그인폼을 복제해두고, 사용자에게 제시하는 것입니다. URL 을 확인한다면, 보통 드러납니다. 물론, 브라우저 extension 등의 툴들이 잘나와 있고, 인증서비스별로, 로그인폼 복제를 무력화시키는 방법등을 제공하고 있습니다. 믿을 만한 인증서비스를 선택하면 됩니다.

    "패스워드와 아이디를 하나로 하는 인증 메커니즘을 가지게 되는데.."
    >>> 역시, 오픈아이디 메카니즘을 완전히 이해하지 못하신 지적입니다. 앞에서도 말씀드렸듯이, 인증방식을 스펙에서 규정하고 있지 않습니다. 따라서, 인증서비스 업체에서 번거로워도, 좀더 안전한 인증방식을 제공할 수 있습니다. 이를테면, 인증시 핸드폰 인증이나 공인인증서, 심지어는 MS 의 카드스페이스를 통한 인증도 가능합니다.

    "이 중앙 집중식이라는 게 무서운게 아닐까요..."
    >>> 예전의 MS 패스포트라면, 한 업체만이 인증을 독점하는 방식이지만, 오픈아이디는 여러 업체의 서비스중에서 본인의 니즈 (보통, 편리성과 보안성 이 주요 factor) 에 적합한 것을 선택할 수 있고, 변경할 수 있기 때문에, 오히려 경쟁에 의한 고도화가 가능합니다.

    무엇보다도, 오픈아이디의 목적과 가치가 훌륭하고, 또한, 그 진화 형태 또한 오픈커뮤니티의 자발적인 참여에 의한 방법이라서 매우짧은 시간동안 많은 문제점들이 빠르게 해결되고 있습니다. 이점이 가장 희망적인 부분이라고 생각되네요 ^^

    • soulfree 2007.07.30 22:58  댓글주소  수정/삭제

      좋은 가르침 감사드립니다.
      오픈아이디를 이해하기위해 참고한 기사와 검색한 글의 내용에서 깊이있는 이해가 부족했습니다.
      Kay님의 댓글에 많은 궁금증과 걱정이 풀리는군요.
      아울러 저와같이 갓 오픈아이디를 접하며 같은 의문을 가지신 분들께서도 궁금증과 걱정을 해소하셨길 바랍니다.

    • Kay 2007.08.01 00:40  댓글주소  수정/삭제

      '가르침'이라고 하시니 송구스럽습니다. 앞으로 커뮤니티를 통해서 좀더 일반인과 기획자대상으로한 전달 노력이 필요함을 느꼈습니다. 좀더 노력하겠습니다.