BrowserID安全吗？

Question

昨天，基于Verified Email Protocol的Mozilla announced BrowserID authentication system。它看起来很漂亮，但是它安全吗？

一个立即浮现在脑海中的问题是，任何可以访问我的浏览器的人都可以以我的身份登录。这也是在浏览器中存储凭据的问题，除非我可以逐个站点地做出决定。BrowserID到底是全有还是全无？

还有没有其他潜在的安全漏洞？

Answer 1

这不是对你的问题的直接回答，但是在“安全”堆栈交换站点中有讨论相同的主题。

https://security.stackexchange.com/questions/5323/what-are-the-downsides-of-browserid-compared-to-openid-oauth-facebook

Answer 2

我最终在BrowserId/Persona and WebID上找到了Daniel对第三次问答的贡献。我发现这个答案很有帮助。(我试图说服他在这里发帖，但他建议我这么做。)

Michael Hackett和Kirstie Hawkey的Security, Privacy and Usability Requirements for Federated Identity提供了WebID和Mozilla Persona之间的比较，后者在当时仍被称为BrowserID。

注意到的主要区别(在表1中)是：

• Persona密钥的有效期很短，应该使用密码进行保护。WebID密钥很长，但很容易从受密码保护的配置文件中禁用。
• ，当前的角色实现使用标准浏览器窗口，因此很难发现欺骗(一旦浏览器获得本机角色支持，这种情况可能会改变)。WebID使用浏览器的本机证书选择UI，因此不会发生网络钓鱼。如果失去对所有者电子邮件/URI的控制，
• 角色和WebID身份都可能受到威胁。
• Persona IdP不知道使用身份的SP。WebID身份提供商知道使用身份的每个SP。
• 如果角色SP具有身份提供商公钥的缓存，并且浏览器仍具有有效证书，则仍应能够验证身份。WebID配置文件必须是可访问的，否则身份将无法访问usable.
• Persona具有良好的UX设计，而WebID正好相反。

我建议阅读这篇论文以了解更多细节。它可以在网上免费获得，不需要访问数字图书馆。