rss
opml
| 
| 
| 
| 
| 
apml
Qualche giorno fa, vi ho brevemente introdotto al mondo di OpenID, il modo innovativo per accedere ai propri servizi online senza aver bisogno di ricordare tante, troppe username e password.
Il sistema è piuttosto interessante e comodo, e vale tanto di più grazie al fatto che è una proposta che è non è nata da grandi compagnie o da interessi particolari, e che solo recentemente ha iniziato a riscuotere l’attenzione dei grandi nomi, che lo stanno integrando nei propri prodotti (Google l’ha integrato in Blogger, giusto per fare un nome.)
Bello bello, ma c’è qualche aspetto riguardo alla sicurezza che va tenuto a mente, visto a maggior ragione che si mette il proprio nome utente e password in giro per la rete. Vediamo un po’.
Uno scenario catastrofico
Quello che segue è uno scenario «catastrofico». Un brutto giorno, utilizzi il tuo OpenID su un sito «cattivo» (ma tu non lo sai), per accedere a qualche tipo di contenuto o anche solo per lasciare un commento ad un post. Il sito cattivo, anziché indirizzarti alla pagina del tuo servizio OpenID, ti mostra una falsa pagina di login – magari al 100% uguale a quella che ti aspetteresti – per cui tu inserisci i dati di accesso al tuo account OpenID fiducioso che tutto sia ok. In realtà, come dicevo prima, la pagina che stai usando è falsa, è stata creata ad arte, ed hai appena dato le tue credenziali di accesso non al sito che legittimamente avrebbe dovuto riceverle, bensì ad un malfattore che potrà sfruttarle per i suoi loschi piani!
È un attacco analogo al cosiddetto phishing che tanto imperversa via email negli ultimi tempi, solo che non si presenta come una mail piena zeppa di errori di ortografia, bensì come il risultato di una tua operazione ben precisa, su cui credi di avere il controllo.
Come proteggersi?
Per prima cosa, al momento di dover inserire nome utente e password per accedere al proprio account OpenID, è bene controllare di essere sul sito giusto: che l’indirizzo a cui punta il browser sia esattamente quello che hai indicato tu, che la connessione sia protetta (colore blu in Firefox 3), e che, meglio, il sito sia autenticato (colore verde).
Questa però non è sempre una garanzia sufficiente. Ecco quindi che alcune aziende si sono inventati strumenti nuovi.
Yahoo! seals
Il servizio OpenID di Yahoo! ha introdotto l’uso di un «Sigillo di sicurezza», che compare soltanto quando si visita una pagina di login vera di Yahoo, e non contraffatta. Nell’immagine qui accanto, un esempio di sigillo (l’ho già cambiato, quindi non provateci con me). Questo sistema è utile, ma ha due limitazioni: funziona solo sul computer e sul browser dove viene attivato, ed è dipendente dai cookies del programma di navigazione, con tutto quello che ciò comporta.
Prima accedi ad OpenID, poi lo usi
Un sistema di sicurezza per OpenID abbastanza utilizzato, è quello che richiede di fare login al proprio account OpenID prima di poter utilizzare OpenID sui siti che lo supportano. Questo significa che se vi viene presentata una pagina di login quando fate uso di OpenID, si tratta certamente di una pagina contraffatta! Il principale difetto di questo metodo è che l’utente deve essere a conoscenza della cosa, e riconoscere che una pagina che gli chiede nuovamente di accedere ad OpenID non è legittima.
SeatBelt
Si tratta di un’estensione sviluppata da VeriSign per Firefox (compatibile anche con la versione 3.0), che si piazza in un angolino del browser, e si cura di indirizzarti verso la pagina di login OpenID reale.
Di base è configurata per funzionare con il provider OpenID di VeriSign, ma può essere configurata con qualsiasi servizio OpenID aderente agli standard.
Quando SeatBelt riconosce un campo di autenticazione OpenID su un sito, mostra la finestra che si vede sopra, e vi traghetta alla corretta pagina di login.
In ogni caso, quando si viene indirizzati alla pagina di accesso di OpenID, l’icona di SeatBelt presente nella barra di Firefox si colora di verde per indicare che si stanno immettendo i dati di accesso al sito reale, e non ad una copia realizzata per rubarvi la password.
SeatBelt supporta anche il meccanismo della delegation, che abbiamo visto nella scorsa «puntata», e si può scaricare qui, gratuitamente.
Concludo così con queste note sulla sicurezza di OpenID, la breve carrellata su questo servizio, di cui mi è venuto spontaneo parlarvi dopo averlo utilizzato per un po’.
Spero di non aver scritto cavolate e di esservi stato in qualche modo utile. Se avete domande e/o commenti, servitevi pure qui sotto.
Stampami! Se desideri scaricare e stampare questa breve guida, in una versione più completa e con più immagini esemplificative, visita questa pagina.
Commenti al post (7)
Sai che non avevo mai pensato alla possibilità di incappare nel phishing di OpenID? Per il momento mi è capitato poche volte di loggarmi spensieratamente via OpenID, ma di sicuro in futuro farò molta più attenzione.
P.S. bella guida! potresti anche raccoglierla in un file pdf, tipo OpenID for Dummies.
Ho visto che diversi blogger hanno fatto lo stesso con altri tutorial su Feedburner, Twitter, etc.
P.P.S mi piace troppo il logo di OpenID!
nemmeno io ci avevo pensato, in effetti. Da tener presente assolutamente…
@lore: Sono contento di aver scritto qualcosa di utile, una volta ogni tanto!
PS: Sai che mi hai convinto? Faccio un pdf/odt scaricabile!
PPS: anche a me!
@suzupearl: OpenID è un bel protocollo aperto, ma bisogna stare un poco attenti ad usarlo!
Non so se può tornarti utile (magari lo consci già), fai tu.
http://www.signgenerator.org/books/dummies/
Carino, non lo conoscevo! Penso però che rimarrò con qualcosa di più semplice!
ma ciao!
purtroppo non riesco a venire alla minerbirra!!
un bacio
gio
Ciao, volevo chiederti alcune cose su OpenId e Woedpress.
Infatti ho scaricato delle plugin ad hoc ma non mi funziona.
Se, per caso hai due minuti: gigi [dot] cogo [@] gmail [dot] com.
Sono stato reindirizzato qui dopo un mio appello su Twitter!
Aggiungi commento