OpenID a certifikáty jsou přece něco úplně jiného, s úplně jinými bezpečnostními riziky. Těžko to můžete srovnávat:
- U certifikátů hrozí víceméně jenom to, že někdo získá soukromou část certifikátu autority a pak si začne vystavovat vlastní certifikáty, které nebude moci nikdo odlišit od certifikátů oficiálních. Tady nastupuje důvěra v autoritu, že má svoje systémy zabezpečené tak dobře (technicky i organizačně - hrozbou jsou zejména zaměstnanci, méně už hackeři apod.), aby k tomu nemohlo dojít - a pokud k tomu dojde, že to bude ihned odhaleno a kompromitovaný certifikát okamžitě revokován.
- U OpenID je těch útoků celá řada, nejen na bezpečnost, ale i na soukromí (možnost sledovat pohyb uživatele po webech, které podporují OpenID). Poměrně výrazný potenciální problém je třeba právě ta největší výhoda OpenID - unifikované přihlašování. Na straně serveru je to hezky ošetřené, na straně klienta může být nějaký keylogger velkým problémem, protože dokáže snadno zachytit všechna data potřebná k přihlášení (to u aplikací pro správu hesel není - tak útočník potřebuje nejen to heslo, ale taky samotnou databázi, případně i použité keyfiles).
Názor k článku
OpenID míří na české weby
