gazapo de seguridad en openid (servidor en openid.blogs.es)

OpenidEstoy pensando en instalar un plugin que permite identificarse con openid para dejar comentarios en el blog y para comprobar cómo funciona lo he probado en un par de blogs que ya lo han implementado, uno de ellos Blog en Serio. Pero antes de contaros el fallo de seguridad que he encontrado, permitidme explicaros a grandes rasgos qué es el openid, los que ya lo sabéis saltaros esta parte.

¿Qué es openid?

Openid es un sistema de identificación. El funcionamiento, sin complejidades técnicas, es el siguiente: cuando vas a dejar algún dato tuyo (nombre, email, alias, dirección…) en una web (web A), te identificas en ella sólo mediante tu URL de identificación openid (URL B, en mi caso es http://www.dondado.es pero puede ser tu página en flickr, tu usuario en wordpress.com o cualquier otro). Al introducir la URL te redirigirán a una página (del servidor openid C). Una vez allí tendrás que autorizar al sitio A a acceder a tu información alojada en C. El resultado práctico: para dejar un comentario en una web, el único dato que tienes que introducir es una URL lo que nos ahorra trabajo a los que vamos dejando comentarios por la web. Ayer mismo publicaba Alfredo Reino algunas referencias que ha encontrado sobre openid y sus problemas de seguridad, y os resumo, openid es cómodo pero no debe usarse para nada más allá que comentar en blogs o cosas de esa “seriedad”.

El gazapo de seguridad:

Al dejar un comentario identificándome con openid llego a la web de mi proveedor openid (en este caso openid.blogs.es), allí autorizó a obtener la dirección de correo electrónico y el alias pero NO mi nombre real; a continuación añado el blog donde estoy dejando el comentario a mi lista de sitios autorizados para sucesivas veces. Más adelante vuelvo a dejar un comentario en ese blog (que ya está en mi lista de sitios autorizados) y el servidor openid le devuelve todos los datos que le pide el blog en lugar de sólo los que yo he autorizado.
El fallo tiene su importancia ya que en el servidor openid se puede almacenar mucha información de tipo personal (direcciones, teléfonos) que según el usuario pueden tener mucha más importancia que por ejemplo el alias. Un usuario malintencionado podría solicitar permiso para consultar tu alias y se la darías, y entonces puede adquirir permisos para consultar todos los datos del servidor openid que le plazca.
Mi duda ahora mismo es saber si esto es una debilidad del protocolo Openid o de la implementación en el servidor de weblogs sl, para averiguarlo tendré que registrarme en otro proveedor openid, pero eso será otro día.

¿y vosotros soléis utilizar openid? ¿os apetece que lo implemente en el blog? (por supuesto como añadido, sin eliminar el sistema actual). De cómo darse de alta ya hablé hace unos meses.

Anuncios

10 comentarios en “gazapo de seguridad en openid (servidor en openid.blogs.es)

  1. Lo he usado en un par de sitios. En algunos me ha cascado después de aceptar en blogger, al volver me decía algo así como que faltaba el nombre… parece problema por devolver datos de menos o quizá no tener alguno relleno. Lo que no imaginaba es que pudiera devolver más de la cuenta…

    Saludos,
    JP

    Historias de JP

  2. A mi en realidad openid me gusta, me resulta muy cómodo, pero lo veo como un sistema para comentarios en blogs y poco más, al fin y al cabo, como mínimo estamos aumentando el riesgo por tener nuestra información alojada en más sitios.

  3. Ya somos 4 que no nos gusta. Además que el numero de comentadores de tu blog disminuirá. Por que dificultarle las cosas a alguien que quiere comentar en tu blog algo?¿

    Saludos!

  4. Con este plugin no se va a complicar nada el comentar, el sistema actual seguirá pero, si dispones de URL, con sólo rellenarla puedes dejar el comentario, sin añadir ni tu alias ni tu correo electrónico. De todas formas me lo estoy pensando mucho, además de por problemas de seguridad, por cuestiones de rendimiento, he visto que en donde lo han instalado, dejar un comentario se vuelve más lento

  5. Osea que te cagaste en las muelas de alguien y luego al dejar otro comentario se enteraron de quien eras xD

    Tengo mis dudas sobre openid y aunque estoy buscando todavía no he encontrado si realmente es viable o no…

    • ahora parece que está corregido (me consta que a raíz de este post se pusieron con ello). Yo cada vez veo más complicado lo de openid, la usabilidad deja bastante que desear (es más lento que entrar con tu usuario y contraseña, o con una dirección de correo si se trata de dejar un comentario) y la seguridad en todo momento ha quedado claro que no es muy alta, que no deberías proteger información sensible utilizando este sistema

  6. Al final voy a usarlo pero por eso mismo porque la información guardada de todas formas va a ser publica e intercambiada por lo que “la seguridad” en ese caso es prácticamente irrelevante. Aunque yo creo que no es problema del sistema sino del usuario. Creo que el que no tiene cuidado le pasa lo mismo en gmail que en openid y encima en gmail puede tener cosas del banco o datos importantes como el resto de claves… Supongo que openid se queda por ahora para paginas “sociales”.

Los comentarios están cerrados.