昨天,Mozilla announced的BrowserID authentication system,根據Verified Email Protocol。它看起來非常漂亮,但它是否安全?BrowserID是否安全?
立即想到的一個問題是,似乎任何人都可以訪問我的瀏覽器可以登錄爲我。這也是將證書存儲在瀏覽器中的一個問題,除了我可以在逐個站點的基礎上做出決定。是BrowserID的全部還是全無?
是否還有其他潛在的安全缺陷?
這不是直接回答你的問題,但線程在「安全」堆棧交換場地,其中討論了差不多
有用的鏈接,謝謝! –
我終於找到了Daniel促成第三Q & A在BrowserId/Persona and WebID。我發現這個答案最有幫助。 (我試圖說服他,張貼在這裏,但他建議我這樣做的。)
Security, Privacy and Usability Requirements for Federated Identity由邁克爾·哈克特和寇霍基提供WebID和Mozilla的Persona,這在當時仍被稱爲之間的比較BROWSERID。
被注意的是,(表1中)的主要區別是:
我建議您閱讀紙張了解更多詳情。它可以在線免費獲取,不需要數字圖書館訪問。
我猜實際的實現會彈出一個請求的權限來做一個browserID登錄,然後發送加密的令牌。 –
@Marc B對,但它應該是一個雙擊過程。如果我的理解正確,那麼您不會在該彈出框中輸入憑據 - 只需驗證您是否要使用特定的電子郵件地址登錄到特定的目標網站即可。 –
Firefox允許您使用主密碼保護常規存儲的密碼,該密碼用於保護用於加密密碼的加密密鑰。我會認爲類似的東西會適用於BrowserID。 – Neil