El Comercio Digital

Webmaster Libre

Subtitulo del blog

Seguridad y OpenID: OpenID Phishing

Se ha montado un revuelo impresionante alrededor de OpenID, concebido como un sustituto libre de servicios como Passport de MSN, OpenID nos permite centralizar todas nuestras cuentas de usuario bajo un solo login.

Personalmente, siempre me ha quedado ese punto de recelo: perdido un password perdidos todos… Y según veo en Kriptópolis no es un miedo infundado. Ya tenemos entre nosotros toda una guía para realizar phishing a OpenID, así que ojo avizor…

Esta entrada fue publicada por Alma Fernández el Sábado, 24 de Marzo de 2007 y está archivada en: General. Puedes dejar un comentario, o enviar un trackback desde tu sitio.

4 Comentarios

Agrega el tuyo

  1. El phishing es un tema que no escapa a absolutamente ningún sistema de autentificación web por contraseña, OpenID incluido.
    No entiendo cómo es posible atacar a OpenID por el posible phishing…
    Es más, MyOpenID es la primera web que conozco que tiene un sistema anti-phishing: http://kveton.com/blog/2007/01/24/myopenid-new-anti-phishing-tools-available/

    Javier Pérez 25 Marzo, 2007

  2. El problema sería que, por ejemplo, un sitio web fraudulento fingiese ser un sitio donde se acepta la autentificación vía OpenID. El usuario introduciría sus contraseña y dejaría expuestas tantas cuentas como sitios donde se identifique con OpenID (es una idea, no soy un “cerebro criminal”)

    Alma Fernández 25 Marzo, 2007

  3. Eso que dices es la definición de phishing… ¿y? No respondes a nada de lo que dije. ¿Podrías citarme una sóla web que tenga sistema anti-phishing? Yo te cité una: myopenid.com

    Lo que dices en tu artículo no es otra cosa que desinformar. Guías de phishing ha habido desde siempre, y para todo tipo de webs, y seguirá habiéndolas. Son famosas las de hotmail, pero sin embargo nadie culpó al sistema de autentificación Passport por el hecho de que exista el phishing. ¿Lo hiciste?

    OpenID es un protocolo de autentificación distribuido, no un sistema anti-phishing.

    Javier Pérez 26 Marzo, 2007

  4. Yo no sé porque te muestras tan a la defensiva por el hecho de que publique un enlace a una nueva forma de phishing que, casualmente, utiliza como base OpenID.

    Dices que no culpé a passport de mis males, pero puede que fuese porque no tenía ningun servicio passport-ready que tuviese mis datos bancarios en él y, en cambio, si tengo un servicio OpenID-enabled donde podrían robarme dinero.

    Quizá, la base de todo esto sea que el sistema es perfecto y el usuario imperfecto (capaz de caer en scams de lo más variado) pero, a fin de cuentas, el sistema debe servir al usuario y, un sistema que facilita un escenario tan desolador para un usuario con pocos conocimientos del tema, merece al menos un punto de escepticismo.

    Alma Fernández 26 Marzo, 2007

Comentar:

Este post tiene más de año y medio. Puedes dejar un comentario de todas formas y volver más tarde para comprobar si hay novedades sobre el tema.

Algunas etiquetas HTML permitidas:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Webmaster Libre es un blog de Alma Fernández y está publicado bajo licencia Creative Commons desde el año 2006

Agradecimientos especiales a WordPress y FamFamFam

Política de Privacidad | Condiciones de uso | Sitemap (XML)