Comentarios en: Seguridad y OpenID: OpenID Phishing http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/ Desarrollo Web con Software Libre Tue, 07 Feb 2012 14:38:05 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Por: Alma Fernández http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/comment-page-1/#comment-78841 Alma Fernández Wed, 28 Jan 2009 14:08:41 +0000 http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/#comment-78841 La verdad es que, como dices, es lo mismo que usar una contraseña débil o loguearte en una web con mal aspecto, lo malo es que la gente lo hace. Hace poco leí que se había extendido un poco el tema del phishing tanto con Open ID como con oAuth pero supongo que, a nivel de seguridad, lo importante no es tanto el método como la persona que lo emplea. La verdad es que, como dices, es lo mismo que usar una contraseña débil o loguearte en una web con mal aspecto, lo malo es que la gente lo hace.
Hace poco leí que se había extendido un poco el tema del phishing tanto con Open ID como con oAuth pero supongo que, a nivel de seguridad, lo importante no es tanto el método como la persona que lo emplea.

]]> Por: Ivan de la Jara http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/comment-page-1/#comment-78784 Ivan de la Jara Wed, 28 Jan 2009 09:37:45 +0000 http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/#comment-78784 Lo único que tienes que hacer es no logearte en esos sitios con openid... También tienes esa información en tu correo. Y si tienes la misma clave en tu correo que en alguna de las webs que usas ya estarias teniendo un terrible agujero de privacidad. Ando buscando si openid es seguro o no... no me termino de aclarar. Usar una misma clave para muchas webs no es malo si son webs absurdas como blogs y cosas asi... Tampoco hay que ser maniaticos... Todos usamos la contraseña "cutre" para las pagians cutres y la "otra" para el correo y eso... Poca gente usa alguntipo de logica en sus contraseñas como por ejemplo si entro en gmail  poner "G1M2A3I4L"... Sigo sin enterarme si se puede suplantar la identidad teniendo tu propio servicio de openid... Lo único que tienes que hacer es no logearte en esos sitios con openid… También tienes esa información en tu correo. Y si tienes la misma clave en tu correo que en alguna de las webs que usas ya estarias teniendo un terrible agujero de privacidad.

Ando buscando si openid es seguro o no… no me termino de aclarar. Usar una misma clave para muchas webs no es malo si son webs absurdas como blogs y cosas asi… Tampoco hay que ser maniaticos… Todos usamos la contraseña “cutre” para las pagians cutres y la “otra” para el correo y eso… Poca gente usa alguntipo de logica en sus contraseñas como por ejemplo si entro en gmail  poner “G1M2A3I4L”…

Sigo sin enterarme si se puede suplantar la identidad teniendo tu propio servicio de openid…

]]> Por: Alma Fernández http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/comment-page-1/#comment-3605 Alma Fernández Mon, 26 Mar 2007 15:32:26 +0000 http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/#comment-3605 Yo no sé porque te muestras tan a la defensiva por el hecho de que publique un enlace a una nueva forma de phishing que, casualmente, utiliza como base OpenID. Dices que no culpé a passport de mis males, pero puede que fuese porque no tenía ningun servicio passport-ready que tuviese mis datos bancarios en él y, en cambio, si tengo un servicio OpenID-enabled donde podrían robarme dinero. Quizá, la base de todo esto sea que el sistema es perfecto y el usuario imperfecto (capaz de caer en scams de lo más variado) pero, a fin de cuentas, el sistema debe servir al usuario y, un sistema que facilita un escenario tan desolador para un usuario con pocos conocimientos del tema, merece al menos un punto de escepticismo. Yo no sé porque te muestras tan a la defensiva por el hecho de que publique un enlace a una nueva forma de phishing que, casualmente, utiliza como base OpenID.

Dices que no culpé a passport de mis males, pero puede que fuese porque no tenía ningun servicio passport-ready que tuviese mis datos bancarios en él y, en cambio, si tengo un servicio OpenID-enabled donde podrían robarme dinero.

Quizá, la base de todo esto sea que el sistema es perfecto y el usuario imperfecto (capaz de caer en scams de lo más variado) pero, a fin de cuentas, el sistema debe servir al usuario y, un sistema que facilita un escenario tan desolador para un usuario con pocos conocimientos del tema, merece al menos un punto de escepticismo.

]]> Por: Javier Pérez http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/comment-page-1/#comment-3603 Javier Pérez Mon, 26 Mar 2007 12:31:21 +0000 http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/#comment-3603 Eso que dices es la definición de phishing... ¿y? No respondes a nada de lo que dije. ¿Podrías citarme una sóla web que tenga sistema anti-phishing? Yo te cité una: myopenid.com Lo que dices en tu artículo no es otra cosa que desinformar. Guías de phishing ha habido desde siempre, y para todo tipo de webs, y seguirá habiéndolas. Son famosas las de hotmail, pero sin embargo nadie culpó al sistema de autentificación Passport por el hecho de que exista el phishing. ¿Lo hiciste? OpenID es un protocolo de autentificación distribuido, no un sistema anti-phishing. Eso que dices es la definición de phishing… ¿y? No respondes a nada de lo que dije. ¿Podrías citarme una sóla web que tenga sistema anti-phishing? Yo te cité una: myopenid.com

Lo que dices en tu artículo no es otra cosa que desinformar. Guías de phishing ha habido desde siempre, y para todo tipo de webs, y seguirá habiéndolas. Son famosas las de hotmail, pero sin embargo nadie culpó al sistema de autentificación Passport por el hecho de que exista el phishing. ¿Lo hiciste?

OpenID es un protocolo de autentificación distribuido, no un sistema anti-phishing.

]]> Por: Alma Fernández http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/comment-page-1/#comment-3602 Alma Fernández Sun, 25 Mar 2007 22:34:10 +0000 http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/#comment-3602 El problema sería que, por ejemplo, un sitio web fraudulento fingiese ser un sitio donde se acepta la autentificación vía OpenID. El usuario introduciría sus contraseña y dejaría expuestas tantas cuentas como sitios donde se identifique con OpenID (es una idea, no soy un "cerebro criminal") El problema sería que, por ejemplo, un sitio web fraudulento fingiese ser un sitio donde se acepta la autentificación vía OpenID. El usuario introduciría sus contraseña y dejaría expuestas tantas cuentas como sitios donde se identifique con OpenID (es una idea, no soy un “cerebro criminal”)

]]> Por: Javier Pérez http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/comment-page-1/#comment-3601 Javier Pérez Sun, 25 Mar 2007 21:40:37 +0000 http://www.webmasterlibre.com/2007/03/24/seguridad-y-openid-openid-phishing/#comment-3601 El phishing es un tema que no escapa a absolutamente ningún sistema de autentificación web por contraseña, OpenID incluido. No entiendo cómo es posible atacar a OpenID por el posible phishing... Es más, MyOpenID es la primera web que conozco que tiene un sistema anti-phishing: http://kveton.com/blog/2007/01/24/myopenid-new-anti-phishing-tools-available/ El phishing es un tema que no escapa a absolutamente ningún sistema de autentificación web por contraseña, OpenID incluido.
No entiendo cómo es posible atacar a OpenID por el posible phishing…
Es más, MyOpenID es la primera web que conozco que tiene un sistema anti-phishing: http://kveton.com/blog/2007/01/24/myopenid-new-anti-phishing-tools-available/

]]>