OpenID

OpenIDб ապակենտրոնացված նույնականացման համակարգի բաց ստանդարտ, որը թույլ է տալիս օգտատիրոջը ստեղծել մեկ հաշիվ՝ երրորդ կողմի ծառայությունների միջոցով մեկը մյուսի հետ չկապված բազմաթիվ ինտերնետային ռեսուրսներում վավերացման համար^[1]:

OpenID-ի հիմնական գործառույթը անվճար և ապակենտրոնացված օգտագործման համար փոխադրելի, հաճախորդի կողմից օգտագործվող թվային ինքնություն տրամադրելն է^[2]:

Ստանդարտը նկարագրում է ինտերնետային ռեսուրսների (հավաստի կողմեր) և OpenID մատակարարների (OpenID մատակարարներ) միջև հաղորդակցության գործընթացը: Կան մի քանի OpenID մատակարարներ, որոնք ապահովում են OpenID URL հոսթինգը^[3]: Google-ը, Yahoo!-ը, AOL-ը, LiveJournal-ը, MySpace-ը, IBM-ը^[4], Steam^[5] և Orange-ը օգտագործվում են OpenID-ի վավերացումը: Ստանդարտի ընդլայնումը (OpenID Attribute Exchange) հեշտացնում է օգտատիրոջ տվյալների, ինչպիսիք են անունը կամ սեռը, փոխանցումը OpenID մատակարարից ինտերնետային ռեսուրսին^[6]:

2009 թվականի դեկտեմբերի դրությամբ կար ավելի քան 1 միլիարդ OpenID հաշիվ և մոտ 9 միլիոն կայք, որոնք աջակցում էին OpenID տեխնոլոգիային^[7]:

Ստանդարտի ներկայիս տարբերակը՝ OpenID Connect 1.0-ը, թողարկվել է 2014 թվականի փետրվարին և թարմացվել է 2014 թվականի նոյեմբերին^[8]^[9]:

Ծագման պատմություն

2005 թվականին Բրեդ Ֆիցպատրիկը, որը հայտնի է որպես LiveJournal-ի ստեղծող, որն այդ ժամանակ աշխատում էր Six Apart-ում, ինտերնետային համայնքին առաջարկել է տարբեր ինտերնետային ռեսուրսների համար մեկ հաշվի գաղափարը^[10]: Նա առաջարկել է օգտատիրոջ հաշիվը պահել մեկ սերվերի վրա և օգտագործել այս հաշիվը այլ ինտերնետային ռեսուրսներում գրանցվելիս: Սկզբում արձանագրությունը կոչվում էր Yadis («Եվս մեկ բաշխված վավերացման համակարգ» հապավումը)։ Արձանագրությունը ստացել է OpenID անվանումը, երբ Six Apart-ը գրանցել է openid.net դոմեյնային անունը իրենց նախագծի համար: Շուտով OpenID-ի աջակցությունը ներդրվել է LiveJournal-ում, և այս տեխնոլոգիան արագորեն գրավել է ինտերնետային համայնքի ուշադրությունը^[11];

2006 թվականին ստեղծվել է առաջին OpenID սպեցիֆիկացիան՝ OpenID Authentication 1.1-ը^[12]:

2007 թվականի դեկտեմբերի 5-ին Sun Microsystems-ը, VeriSign-ը և OpenID-ի մշակմանը մասնակցող մի շարք ընկերություններ թողարկել են OpenID 2.0 սպեցիֆիկացիան և պաշտոնապես հայտարարելեն, որ չեն առարկի, եթե որևէ մեկը օգտագործի OpenID տեխնոլոգիա, եթե տեխնոլոգիան օգտագործող անձի գործողությունները չեն ուղղված տեխնոլոգիայի ներդրման կամ տեխնոլոգիան օգտագործելու իրավունքի դեմ^[13]:

OpenID ապրանքանիշը գրանցվել է 2008 թվականի մարտին Միացյալ Նահանգներում^[14]:

OpenID-ի մուտք՝ վերջնական օգտագործողի տեսանկյունից

Օրինակ՝ example.com, կայքում կա մուտքի ձև՝ OpenID նույնականացուցիչի համար մեկ մուտքագրման դաշտով։ Հաճախ նման դաշտի կողքին հայտնվում է OpenID-ի տարբերանշանը: Այս կայք մուտք գործելու համար՝ օգտագործելով ձեր նույնականացուցիչը, օրինակ՝ pupkin.openid-provider.org, որը գրանցված է OpenID մատակարար openid-provider.org-ում օգտատերը պետք է մուտքագրի իր նույնականացուցիչը կայքում առաջարկվող մուտքի ձևում: После этого сайт example.com կայքը վերահղում է օգտատիրոջը մատակարարի կայք։ Մատակարարի կայքը խնդրում է օգտատիրոջը հաստատել, թե արդյոք օգտատերը իսկապես ցանկանում է տրամադրել իր հաշվի մասին տեղեկություններ։ Եթե օգտատերը համաձայն է, մատակարարի կայքը վերահասցեագրում է օգտատիրոջը դեպի կախյալ կողմի կայք։ Հետ վերահասցեագրվելիս մատակարարը փոխանցում է օգտատիրոջ մասին տեղեկությունները կախյալ կողմին^[15]:

Օրինակ, LiveJournal-ը OpenID-ի մատակարար է, այնպես որ կարող եք օգտագործել ձեր LiveJournal օրագրի հասցեն որպես OpenID նույնացուցիչ^[16]:

Արձանագրության ընդհանուր նկարագրություն

OpenID-ի հնարավորություններ

OpenID-ն թույլ է տալիս օգտատիրոջը օգտագործել մեկ հաշիվ, որը գրանցված է OpenID մատակարարի մոտ մի քանի այլ կայքերում: Օգտատերը կարող է ընտրել, թե ինչ տեղեկատվություն կտրամադրի կայքին: Պրոֆիլային տեղեկատվության կամ OpenID-ի սպեցիֆիկացիայում չնկարագրված այլ տեղեկատվության փոխանակումը կարող է իրականացվել OpenID արձանագրության վերևում՝ օգտագործելով լրացուցիչ ծառայություններ: Այս նպատակով OpenID-ի արձանագրությունը տրամադրում է պաշտոնապես աջակցվող արձանագրության ընդլայնման մեխանիզմ^[17]:

Հնարավոր է պատվիրակել OpenID-ին: Սա նշանակում է, որ դոմեյնի անվան սեփականատերը կարող է այն օգտագործել որպես ցանկացած OpenID մատակարարից ստացված առկա OpenID նույնականացուցիչի հոմանիշ (կեղծանուն)։ Դրա համար անհրաժեշտ է մի քանի մետա թեգեր ավելացնել պատվիրակված էջին^[18]:

Ապակենտրոնացում

OpenID-ին ապակենտրոնացված համակարգ է: Սա նշանակում է, որ չկա որևէ կենտրոնական ծառայություն կամ կազմակերպություն, որը թույլատրում է համակարգի օգտագործումը կամ գրանցում է ինտերնետային ռեսուրսներ կամ OpenID մատակարարներ, որոնք պահանջում են OpenID-ի նույնականացում: Վերջնական օգտատերն ազատ է ընտրելու, թե որ OpenID մատակարարն օգտագործի և պահպանում է նույնականացուցիչը, եթե OpenID-ի մատակարարը փոխվի^[1]:

Տեխնոլոգիական պահանջներ

Ստանդարտը չի պահանջում JavaScript կամ ժամանակակից բրաուզերներ, սակայն նույնականացման սխեման լավ համատեղելի է AJAX-ի հետ: Սա նշանակում է, որ վերջնական օգտատերը կարող է նույնականացվել կայքում՝ առանց ընթացիկ էջը լքելու: Այս դեպքում ինտերնետային ռեսուրսը ֆոնային ռեժիմով կապվում է OpenID-ի հետ: OpenID նույնականացումը օգտագործում է միայն ստանդարտ HTTP(S) հարցումներ և պատասխաններ, ուստի ստանդարտը չի պահանջում օգտատիրոջից լրացուցիչ ծրագրային ապահովում տեղադրել: OpenID-ն չի պահանջում cookie կամ որևէ այլ սեսիայի կառավարման մեխանիզմների օգտագործում: Տարբեր ընդլայնումներ կարող են պարզեցնել OpenID-ի օգտագործումը, բայց պարտադիր չեն ստանդարտն օգտագործելու համար^[2]:

Արձանագրության սարք

Տերմինաբանություն

Նույնականացուցիչ (Identifier)` HTTP կամ HTTPS URI (URL) կամ XRI (սկսած OpenID 2.0-ից)^[2]: Արձանագրությունն օգտագործում է նույնականացման մի քանի տեսակներ։
Ինտերնետ ծառայություն (Relying Party)` վեբ հավելված, որը ցանկանում է ստուգել օգտվողի ID-ի իսկությունը:
Փրովայդեր OpenID (OpenID Provider)` OpenID նույնականացման սերվեր, որը ստուգում է վերջնական օգտատիրոջ ID-ի իսկությունը ինտերնետային ծառայության համար։
OpenID մատակարարի փրովայդեր URL (OpenID Provider Endpoint URL)` URL, URL, որը ընդունում է OpenID նույնականացման հարցումներ և կարող է ստացվել տրամադրված ID-ից
Մատակարարի փրովայդեր (OP Identifier)` նույնականացուցիչ, որի միջոցով կարելի է նույնականացնել OpenID մատակարարին։
Ներկայացված նույնականացուցիչ (User-Supplied Identifier)`վերջնական օգտատիրոջ կողմից ինտերնետ ծառայությանը տրամադրված նույնականացուցիչ։ Ներկայացված նույնականացուցիչը կարող է համընկնել OP նույնականացուցչի հետ։
Հայտարարված նույնականացուցիչ (Claimed Identifier)` նույնականացուցիչ, երբ օգտատերը պնդում է, որ իրեն է պատկանում: Այս հայտարարության ստուգումը OpenID արձանագրության հիմնական նպատակն է: Հայտարարված նույնականացուցիչը կարող է ստացվել ներկայացված նույնականացուցիչից՝ այն նորմալացնելով^[19]:

Գործողության մեխանիզմ

Վերջնական օգտատերը սկսում է նույնականացման գործընթացը ինտերնետային ծառայությունում՝ կայքում տրամադրված մուտքի ձևաթղթում մուտքագրելով ներկայացված նույնականացուցիչը։
Ներկայացված նույնականացուցիչից ինտերնետ ծառայությունը որոշում է վերջնական օգտատիրոջ կողմից օգտագործվող OpenID մատակարարի վերջնակետի URL-ը: Ներկայացված նույնականացուցիչը կարող է պարունակել միայն մատակարարի նույնականացուցիչը: Այս դեպքում վերջնական օգտատերը մատակարարի հետ փոխազդելիս նշում է իր հայտարարած նույնականացուցիչը:
Ըստ ցանկության, ինտերնետ ծառայությունը և OpenID մատակարարը ստեղծում են համատեղ գաղտնի բանալի Դիֆի-Հելլմանի հաղորդագրության նույնականացման կոդի համար: Հաղորդագրության նույնականացման կոդն օգտագործելով՝ ինտերնետ ծառայությունը նույնականացնում է մատակարարից ստացված հաղորդագրությունը՝ առանց մատակարարին նույնականացման լրացուցիչ հարցումների:
checkid_setup ռեժիմում ինտերնետ ծառայությունը վերահղում է օգտատիրոջ բրաուզերը մատակարարի կայք՝ հետագա նույնականացման համար: checkid_immediate ռեժիմում բրաուզերը կապ է հաստատում մատակարարի հետ՝ օգտատիրոջից աննկատ:
Մատակարարը ստուգում է, թե արդյոք օգտատերը լիազորված է սերվերի վրա և ցանկանում է նույնականացվել ինտերնետային ծառայությունում: OpenID սպեցիֆիկացիան չի նկարագրում օգտատիրոջ նույնականացման գործընթացը մատակարարի կողմից:
Մատակարարը վերահասցեագրում է օգտատիրոջ բրաուզերը դեպի ինտերնետային ծառայություն՝ նույնականացման արդյունքը փոխանցելով ծառայությանը։
Ինտերնետային ծառայությունը ստուգում է ինտերնետ մատակարարից ստացված տեղեկատվության իսկությունը, ներառյալ վերադարձված URL-ը, օգտատիրոջ տեղեկությունները, ոչ մի բանալի և հաղորդագրության ստորագրությունը: Եթե 3-րդ քայլում ստեղծվել է համատեղ գաղտնի բանալի, ստուգումը կատարվում է դրա միջոցով: Եթե բանալի չի ստեղծվել, ինտերնետային ծառայությունը լրացուցիչ հարցում (check_authentication) է ուղարկում ինտերնետ մատակարարին՝ իսկությունը ստուգելու համար: Առաջին դեպքում ինտերնետային ծառայությունը կոչվում է համր, իսկ երկրորդ դեպքում՝ վստահելի կողմ՝ առանց հիշողության (stateless):
Եթե ստուգումը հաջող է, ինտերնետային ծառայությունը նույնականացնում է օգտատիրոջը^[15]:

OpenID Foundation

OpenID Foundation (OIDF) առևտրային կազմակերպություն է, որը ստեղծվել է 2007 թվականի հունիսին՝ OpenID համայնքին վերաբերող հեղինակային իրավունքի, ապրանքանիշի, մարքեթինգի և այլ գործունեության կառավարման համար^[20]:

Կազմակերպության տնօրենների խորհուրդը բաղկացած է համայնքի 4 անդամից և կորպորատիվ 8 անդամից^[21]:

Ընկերության անդամներ

• Ջոն Բրեդլի (Independent) (անգլ.՝ John Bradley)

• Ջորջ Ֆլետչեր (AOL) (անգլ.՝ George Fletcher)

• Մայք Ջոնս (Microsoft) (անգլ.՝ Mike Jones)

• Նատ Սակիմուրա (Nomura Research Institute) (անգլ.՝ Nat Sakimura)

Կորպորատիվ անդամներ

• Google` Ադամ Դոուս (անգլ.՝ Adam Dawes)

• Microsoft` Էնտոնի Նադալին (անգլ.՝ Anthony Nadalin)

• Ping Identity` Պամելա Դինգլ (անգլ.՝ Pamela Dingle)

• Symantec` Բրայան Բերլիներ (անգլ.՝ Brian Berliner)

• Verizon` Բյորն Հելմ (անգլ.՝ Bjorn Hjelm)

• Oracle` Պրատիկ Միշրա (անգլ.՝ Prateek Mishra)

• VMware` Աշիշ Ջեյն (անգլ.՝ Ashish Jain)

• ԱՄՆ Առողջապահության և մարդկային ծառայությունների դեպարտամենտ` Դեբբի Բուչի (անգլ.՝ Debbie Bucci)

Միացյալ Նահանգներում OpenID Foundation-ը գրանցել է OpenID ապրանքանիշը 2008 թվականի մարտին: Նախկինում այն պատկանում էր NetMesh Inc.-ին: Եվրոպայում OpenID ապրանքանիշը գրանցել է OpenID Europe Foundation-ը 2007 թվականի օգոստոսի 31-ին:^[14].

Տարբերակների պատմություն

OpenID 1.1

OpenID-ի վերջնական նույնականացումը օգտատիրոջը հնարավորություն է տալիս ապացուցել իր ինքնությունը կայքում՝ առանց մուտքագրելու իր գաղտնաբառը, էլ. փոստը կամ այլ տեղեկություններ, որոնք նա չի ցանկանում մուտքագրել այդ ռեսուրսում: OpenID 1.1 սպեցիֆիկացիան չի նախատեսում վերջնական օգտատիրոջ պրոֆիլի տեղեկատվության փոխանակման որևէ մեխանիզմ^[18]:

OpenID 2.0

Վերջնական օգտագործողի համար OpenID 2.0-ի և OpenID 1.1-ի միջև հիմնական տարբերությունը XRI-ն որպես նույնականացուցիչ օգտագործելու հնարավորությունն է: OpenID 2.0-ն, ի տարբերություն OpenID 1.1-ի, աջակցում է HMAC-SHA256 ալգորիթմը՝ 256-բիթանոց ([RFC2104] թվային ստորագրություն, որը OpenID հաղորդագրությունների նույնականացումն ավելի անվտանգ է դարձնում: OpenID 2.0-ն ներմուծեց ընդլայնման մեխանիզմ, որը թույլ է տալիս լրացուցիչ տեղեկատվություն ավելացնել նույնականացման հարցումներին և պատասխաններին^[22]:

OpenID 2.0-ը համատեղելի է OpenID 1.1-ի հետ^[23]:

OpenID Connect

OpenID տեխնոլոգիայի երրորդ սերունդը, որը OAuth 2.0 լիազորման արձանագրության նույնականացման լրացում է: OpenID Connect-ը թույլ է տալիս ինտերնետային ռեսուրսներին ստուգել օգտատիրոջ ինքնությունը՝ հիմնվելով լիազորման սերվերի կողմից կատարված նույնականացման վրա: Այն օգտագործում է RESTful API-ն, որը նկարագրված է սպեցիֆիկացիայում: OpenID Connect-ը նաև սահմանում է հուսալի կոդավորման և թվային ստորագրության լրացուցիչ մեխանիզմներ: Ստանդարտը թույլ է տալիս օգտագործել լրացուցիչ հնարավորություններ, ինչպիսիք են սեսիայի կառավարումը և OpenID մատակարարների հայտնաբերումը^[8]:

Թեև OAuth 1.0a ստանդարտը OpenID 2.0-ի հետ ինտեգրելու համար անհրաժեշտ է ընդլայնում, OpenID Connect-ը արդեն իսկ ինտեգրում է OAuth 2.0-ի հնարավորությունները արձանագրության մեջ^[24]:

Խոցելիություններ

Ֆիշինգային հարձակումներ

Որոշ հետազոտողներ կարծում են, որ OpenID արձանագրությունը խոցելի է ֆիշինգային հարձակումների համար, երբ մատակարարի փոխարեն հարձակվողները վերջնական օգտատիրոջն ուղղորդում են նմանատիպ դիզայն ունեցող կայք։ Եթե օգտատերը չի նկատում փոխարինումը, նա մուտքագրում է իր նույնականացման տվյալները (մուտք, գաղտնաբառ)։ Արդյունքում, հարձակվողները կարող են ներկայանալ ինտերնետային ռեսուրսներին որպես այս օգտատեր և մուտք գործել այդ ռեսուրսներում պահվող նրա տեղեկատվությանը^[25]:

Ֆիշինգային հարձակումներ նույնպես հնարավոր են, երբ OpenID-ի լիազորումը սատարող կայքը կեղծվում է՝ մատակարարից օգտատիրոջ տեղեկությունները ստանալու համար: Օգտագործելով «թաքնված վերահղման» խոցելիությունը՝ հարձակվողները կարող են օգտատիրոջ մոտ պատրանք ստեղծել, որ տեղեկատվությունը պահանջվում է իրական կայքի կողմից^[26]:

OpenID-ն չի պարունակում ֆիշինգային հարձակումները կանխելու որևէ մեխանիզմ։ Ֆիշինգային հարձակումների պատասխանատվությունը տեղափոխվում է OpenID մատակարարների վրա^[27]:

Ֆիշինգից պաշտպանվելու համար օգտատերերը կարող են օգտագործել լրացուցիչ ծրագրեր, ինչպիսին է Microsoft-ի Identity Selector-ը^[28]: Կան նաև լուծումներ, որոնք չեն պահանջում լրացուցիչ ծրագրերի տեղադրում, ինչպիսին է BeamAuth-ը, որն օգտագործում է բրաուզերի էջանիշերը աշխատանքի համար^[29]:

«Մարդը մեջտեղում» հարձակում անպաշտպան կապի վրա

Եթե TLS/SSL-ը չի օգտագործվում օգտատիրոջ և OpenID մատակարարի միջև կապը ապահովելու համար, ապա խոցելիություն է առաջանում նույնականացման վերջին փուլում: Օգտատիրոջը իրենից ինտերնետ ծառայություն վերահղելու համար մատակարարը հատուկ URL է ուղարկում օգտատիրոջը: Խնդիրն այն է, որ յուրաքանչյուր ոք, ով կարող է ստանալ այս URL-ը (օրինակ՝ ոլորված զույգը հոտոտելով), կարող է վերարտադրել այն և մուտք գործել կայք որպես օգտատեր: Որոշ մատակարարներ օգտագործում են միանգամյա կոդ (Nonce) այս հարձակումից պաշտպանվելու համար, որը թույլ է տալիս URL-ը օգտագործել միայն մեկ անգամ: Nonce լուծումը գործում է միայն այն դեպքում, եթե օգտատերը նախ օգտագործում է URL-ը: Այնուամենայնիվ, հարձակվողը, որը լսում է կապի ալիքը և գտնվում է օգտատիրոջ և մատակարարի միջև, կարող է ստանալ URL-ը և անմիջապես ընդհատել օգտատիրոջ TCP կապը, ապա իրականացնել հարձակում: Այսպիսով, միանգամյա կոդերը պաշտպանում են միայն պասիվ հարձակվողներից, բայց չեն կարող կանխել ակտիվ հարձակվողի հարձակումները: TLS / SSL-ի օգտագործումը նույնականացման գործընթացում վերացնում է այս ռիսկը^[30]:

Նույնականացուցիչի վերօգտագործում

Օգտատերը կարող է փոխել իր OpenID մատակարարին՝ այդպիսով ազատելով իր ID-ն նախորդ մատակարարից։ Նոր օգտատերը կարող է վերցնել այս ID-ն և օգտագործել այն նույն կայքերում, ինչ նախորդ օգտատերը։ Սա նոր օգտատիրոջը հասանելիություն կտա այս ID-ի հետ կապված բոլոր տեղեկություններին։ Այս իրավիճակը կարող է առաջանալ պատահաբար. նոր օգտատերը պարտադիր չէ, որ լինի հարձակվող և ցանկանա մուտք գործել նշված տեղեկատվությանը^[31]:

OpenID 2.0 սպեցիֆիկացիան խորհուրդ է տալիս օգտագործել ֆրագմենտներ՝ նույնականացուցիչի վերօգտագործման խնդիրը լուծելու համար. նույնականացուցիչին պետք է ավելացվի յուրաքանչյուր օգտատիրոջ համար եզակի ֆրագմենտ^[19]:

Նույնականացման սխալներ

2012 թվականին հետազոտողները հրապարակեցին մի հոդված, որում նկարագրվում էին OpenID-ի երկու խոցելիություններ։ Երկու խոցելիություններն էլ թույլ են տալիս հարձակվողին մուտք գործել զոհի հաշվին^[32]:

Առաջին խոցելիությունն օգտագործում է OpenID Attribute Exchange-ը։ Խնդիրն այն է, որ որոշ ինտերնետային ծառայություններ չեն ստուգում Attribute Exchange-ի միջոցով փոխանցված տվյալները։ Եթե Attribute Exchange-ն օգտագործվում է օգտատիրոջ այնպիսի տեղեկություններ փոխանցելու համար, որոնք զգայուն չեն փոխարինման նկատմամբ (օրինակ՝ սեռը), ապա այս խոցելիությունը չի կարող շահագործվել։ Այնուամենայնիվ, Attribute Exchange-ը կարող է օգտագործվել նաև, օրինակ, օգտատիրոջ էլեկտրոնային փոստը փոխանցելու համար։ Հարձակվողը փորձում է նույնականացվել կախյալ կողմի կայքում և պատասխանին ավելացնում է զոհի էլեկտրոնային փոստի մատակարարին։ Եթե կախյալ կողմը չի ստուգում այս տեղեկատվության իսկությունը, հարձակվողը կճանաչվի որպես զոհ։ Այսպիսով, հնարավոր է մուտք գործել ցանկացած գրանցված հաշիվ։ Հետազոտողների զեկույցի համաձայն, շատ հայտնի կայքեր, այդ թվում՝ Yahoo!-ն, ենթարկվել են այս հարձակմանը^[33]:

Երկրորդ խոցելիությունը կապված է մատակարարի կողմից թույլ տրված սխալի հետ և նաև թույլ է տալիս մուտք գործել կախյալ կողմի կայքում գտնվող հաշվին։ Մատակարարի պատասխանը պարունակում է openid.ext1.value.email դաշտը, որը կախյալ կողմը մշակում է որպես օգտատիրոջ էլ. փոստի հասցե։ Սակայն, այս դաշտին մատակարարի կողմից ավելացվող տվյալների տեսակը կարող է կառավարվել հարձակվողի կողմից. մատակարարին ուղղված հարցումը պարունակում է type.email դաշտը՝ այս դաշտը նկարագրող սխեմայի հղումով։ Հարձակվողը կարող է type.email-ի հղումը ավելացնել օգտատիրոջ անունը նկարագրող սխեմային։ Եթե հարձակվողը կարող է գրանցվել մատակարարի կայքում alice@example.com անունով, մատակարարը կավելացնի այս անունը openid.ext1.value.email դաշտին, և կախյալ կողմը կենթադրի, որ այս էլ. փոստով հաշիվը պատկանում է հարձակվողին։ Google-ի և Paypal-ի իրականացումները խոցելի են ճանաչվել^[33]:

OpenID-ն հրապարակել է երկու խոցելիությունների վերաբերյալ զեկույցներ, և թողարկվել են թարմացումներ դրանք շտկելու համար^[34]^[35]:

Ծանոթագրություններ

↑ ^1,0 ^1,1 OpenID Authentication 2.0 Specification, Abstract
↑ ^2,0 ^2,1 ^2,2 OpenID Authentication 2.0 Specification
↑ Microsoft and Google ship OpenID
↑ Technology Leaders Join OpenID Foundation
↑ Документация Steam Web API
↑ Final: OpenID Attribute Exchange 1.0 - Final
↑ OpenID 2009 Year in Review
↑ ^8,0 ^8,1 Final: OpenID Connect Core 1.0
↑ Errata to OpenID Connect Specifications Approved
↑ Distributed Identity: Yadis
↑ OpenID: an actually distributed identity system
↑ OpenID Authentication 1.1
↑ OpenID.sun.com is open for business
↑ ^14,0 ^14,1 USPTO Assignments on the Web - OpenID
↑ ^15,0 ^15,1 OpenID Authentication 2.0 Specification, Protocol Overview
↑ LiveJournal OpenID
↑ What is OpenID?
↑ ^18,0 ^18,1 OpenID Authentication 1.1, Delegating Authentication
↑ ^19,0 ^19,1 OpenID Authentication 2.0 Specification, Normalization
↑ OpenID Foundation
↑ OpenID Foundation Leadership
↑ OpenID Authentication 2.0 Specification, Extensions
↑ OpenID Authentication 2.0 Specification, OpenID Authentication 1.1 Compatibility
↑ Welcome to OpenID Connect
↑ A security analysis of OpenID, էջ 79
↑ Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID
↑ OpenID Authentication 2.0 Specification, User Interface Considerations
↑ A security analysis of OpenID, Anti-phishing Techniques, էջ 81
↑ Beamauth: Two-factor Web Authentication with a Bookmark
↑ Single Sign-On for the Internet: A Security Story
↑ A security analysis of OpenID, OpenID Recycling, էջ 79
↑ Signing Me onto Your Accounts through Facebook and Google
↑ ^33,0 ^33,1 Signing Me onto Your Accounts through Facebook and Google, Google ID (and OpenID in general), էջ 6
↑ Attribute Exchange Security Alert
↑ Vulnerability report: Data confusion

Գրականություն

«OpenID Authentication 2.0 Specification». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2011 թ․ հոկտեմբերի 22-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Microsoft and Google Both Ship OpenID». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ հունիսի 24-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Technology Leaders Join OpenID Foundation». www-03.ibm.com (անգլերեն). IBM. Արխիվացված օրիգինալից 2008 թ․ փետրվարի 10-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Документация Steam Web API». steamcommunity.com (ռուսերեն). Steam. Արխիվացված օրիգինալից 2012 թ․ փետրվարի 10-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID Attribute Exchange 1.0». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ նոյեմբերի 20-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID 2009 Year in Review». openid.net (անգլերեն). OpenID Foundation. 2009 թ․ դեկտեմբերի 15. Արխիվացված օրիգինալից 2017 թ․ հուլիսի 3-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID Connect Core 1.0». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2014 թ․ դեկտեմբերի 18-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Errata to OpenID Connect Specifications Approved». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2014 թ․ դեկտեմբերի 3-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

Brad Fitzpatrick (2005 թ․ մայիսի 16). «Distributed Identity: Yadis». lj-dev.livejournal.com (անգլերեն). Արխիվացված օրիգինալից 2017 թ․ հուլիսի 20-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

Brad Fitzpatrick (2005 թ․ հուլիսի 14). «OpenID: an actually distributed identity system». www.danga.com (անգլերեն). Արխիվացված է օրիգինալից 2005 թ․ սեպտեմբերի 24-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID Authentication 1.1 Specification». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ նոյեմբերի 18-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID.sun.com is open for business». blogs.oracle.com (անգլերեն). Oracle. 2007 թ․ հունիսի 6. Արխիվացված օրիգինալից 2017 թ․ դեկտեմբերի 1-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«USPTO Assignments on the Web - OpenID». assignments.uspto.gov (անգլերեն). United States Patent and Trademark Office. Արխիվացված օրիգինալից 2013 թ․ հոկտեմբերի 10-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«What is OpenID?». www.livejournal.com (անգլերեն). LiveJournal. Արխիվացված օրիգինալից 2005 թ․ հունիսի 30-ին. Վերցված է 2005 թ․ հունիսի 27-ին.

«What is OpenID?». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ դեկտեմբերի 1-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID Foundation». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ նոյեմբերի 23-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«OpenID Foundation Leadership». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2014 թ․ հունիսի 24-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Welcome to OpenID Connect». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ դեկտեմբերի 12-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

Bart van Delft and Martijn Oostdijk A security analysis of OpenID. — Springer. — С. 73—84.

«Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID». www.tetraph.com (անգլերեն). Teltraph. Արխիվացված օրիգինալից 2017 թ․ հոկտեմբերի 9-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

Ben Adida Beamauth: Two-factor Web Authentication with a Bookmark. — ACM. — С. 48-57. — ISBN 9781595937032. — doi:10.1145/1315245.1315253

Eugene Tsyrklevich Single Sign-On for the Internet: A Security Story. — BlackHat USA.

Rui Wang, Shuo Chen, XiaoFeng Wang Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services. — Microsoft Research.

«Attribute Exchange Security Alert». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2017 թ․ հուլիսի 31-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Vulnerability report: Data confusion». openid.net (անգլերեն). OpenID Foundation. Արխիվացված օրիգինալից 2019 թ․ սեպտեմբերի 5-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

«Announcing Facebook Connect - Facebook for Developers». developers.facebook.com (անգլերեն). Facebook Developers. Արխիվացված օրիգինալից 2017 թ․ օգոստոսի 26-ին. Վերցված է 2017 թ․ դեկտեմբերի 5-ին.

Վիքիպահեստն ունի նյութեր, որոնք վերաբերում են «OpenID» հոդվածին։

[OpenID_Authentication_2.0_Specification——Abstract—-1] 1,0 ^1,1 OpenID Authentication 2.0 Specification, Abstract

[OpenID_Authentication_2.0_Specification———-2] 2,0 ^2,1 ^2,2 OpenID Authentication 2.0 Specification

[Microsoft_and_Google_ship_OpenID———-3] Microsoft and Google ship OpenID

[Technology_Leaders_Join_OpenID_Foundation———-4] Technology Leaders Join OpenID Foundation

[Документация_Steam_Web_API———-5] Документация Steam Web API

[Final:_OpenID_Attribute_Exchange_1.0_-_Final———-6] Final: OpenID Attribute Exchange 1.0 - Final

[OpenID_2009_Year_in_Review———-7] OpenID 2009 Year in Review

[Final:_OpenID_Connect_Core_1.0———-8] 8,0 ^8,1 Final: OpenID Connect Core 1.0

[Errata_to_OpenID_Connect_Specifications_Approved———-9] Errata to OpenID Connect Specifications Approved

[Distributed_Identity:_Yadis———-10] Distributed Identity: Yadis

[OpenID:_an_actually_distributed_identity_system———-11] OpenID: an actually distributed identity system

[OpenID_Authentication_1.1———-12] OpenID Authentication 1.1

[OpenID.sun.com_is_open_for_business———-13] OpenID.sun.com is open for business

[USPTO_Assignments_on_the_Web_-_OpenID———-14] 14,0 ^14,1 USPTO Assignments on the Web - OpenID

[OpenID_Authentication_2.0_Specification——Protocol_Overview—-15] 15,0 ^15,1 OpenID Authentication 2.0 Specification, Protocol Overview

[LiveJournal_OpenID———-16] LiveJournal OpenID

[What_is_OpenID?———-17] What is OpenID?

[OpenID_Authentication_1.1——Delegating_Authentication—-18] 18,0 ^18,1 OpenID Authentication 1.1, Delegating Authentication

[OpenID_Authentication_2.0_Specification——Normalization—-19] 19,0 ^19,1 OpenID Authentication 2.0 Specification, Normalization

[OpenID_Foundation———-20] OpenID Foundation

[OpenID_Foundation_Leadership———-21] OpenID Foundation Leadership

[OpenID_Authentication_2.0_Specification——Extensions—-22] OpenID Authentication 2.0 Specification, Extensions

[OpenID_Authentication_2.0_Specification——OpenID_Authentication_1.1_Compatibility—-23] OpenID Authentication 2.0 Specification, OpenID Authentication 1.1 Compatibility

[Welcome_to_OpenID_Connect———-24] Welcome to OpenID Connect

[A_security_analysis_of_OpenID———79-25] A security analysis of OpenID, էջ 79

[Covert_Redirect_Vulnerability_Related_to_OAuth_2.0_and_OpenID———-26] Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID

[OpenID_Authentication_2.0_Specification——User_Interface_Considerations—-27] OpenID Authentication 2.0 Specification, User Interface Considerations

[A_security_analysis_of_OpenID——Anti-phishing_Techniques—81-28] A security analysis of OpenID, Anti-phishing Techniques, էջ 81

[Beamauth:_Two-factor_Web_Authentication_with_a_Bookmark———-29] Beamauth: Two-factor Web Authentication with a Bookmark

[Single_Sign-On_for_the_Internet:_A_Security_Story———-30] Single Sign-On for the Internet: A Security Story

[A_security_analysis_of_OpenID——OpenID_Recycling—79-31] A security analysis of OpenID, OpenID Recycling, էջ 79

[Signing_Me_onto_Your_Accounts_through_Facebook_and_Google———-32] Signing Me onto Your Accounts through Facebook and Google

[Signing_Me_onto_Your_Accounts_through_Facebook_and_Google——Google_ID_(and_OpenID_in_general)—6-33] 33,0 ^33,1 Signing Me onto Your Accounts through Facebook and Google, Google ID (and OpenID in general), էջ 6

[Attribute_Exchange_Security_Alert———-34] Attribute Exchange Security Alert

[Vulnerability_report:_Data_confusion———-35] Vulnerability report: Data confusion

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]