不除安全隐患OpenID难普及

在上个月于伦敦举办的“Web应用未来（FOWA-07）”大会上，英国著名的Web开发人员Simon Willison介绍了OpenID单点登录系统的优势，以及它在制止垃圾信息和其他网络犯罪方面的潜力。

新闻网站Digg的创始人Kevin Rose宣布他的网站将支持OpenID身份验证。前不久AOL也声称任何AOL用户名都可以作为一个OpenID，而微软则意欲整合OpenID和Windows CardSpace。

OpenID单点登录确实会为用户带来巨大的便利。我曾花费了整整一上午的时间来完成三个网页的注册，其中每个都要求输入新的用户名和密码。OpenID则能利用属性交换服务来免除这种在多个页面注册的麻烦，该服务允许网站从你指定的OpenID提供商处获取详细的个人信息。

可不幸的是，OpenID在安全上仍存在诸多问题。首先是防范“网络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持OpenID的网站时，可能会把输入的用户名和密码送到欺诈网页；其次，OpenID依赖于路由到互联网上正确机器的URL标识，而这又依赖于进行网络地址映射的域名解析系统，众所周知，这种系统存在安全隐患。
在技术规格上，OpenID没有坚持在每个参与用户身份验证的网站上采用传输层安全协议(TLS) 。尽管它支持安全身份验证，但并不坚持这么做，这的确是一个失误。一旦用户身份被盗，盗用者就可以使用他的多个账户而不只是一个。

修复OpenID的安全漏洞远比修复数百万计的单独网站更加容易，OpenID也决非医治百病的灵丹妙药，该技术仅适用于在博客发表评论或注册试用软件，还无法用于电子商务或网上银行等对安全较为敏感的网络应用。我个人殷切期待采用OpenID技术的网站能够安全应用该技术。OpenID与CardSpace的整合有望增强它对“网络钓鱼”的防御，如果能再支持TLS，那么OpenID在安全上就将迈出更具实质意义的一步，否则它只可能为用户带来灾难。

我认为把整个网站做到一个巨大无比的Flash中实属一种低劣的Web设计方式，网站中有一些内容可以基于Flash，但就整体设计而言，它应该保证用户除使用浏览器外无需附加任何东西就能在整个网站中自由导航。