Es común ver que muchas aplicaciones web son tildadas de seguras o inviolables. Esta claro también, que si estos sitios no se promocionaran de esta forma jamás conseguirán mercado, por lo que morirían al poco tiempo de ver la luz (o alguien entraría a un sitio el cual asegure ser “prácticamente” inviolable).
Pero lo cierto es que no es que no existe nada 100% inviolable en el mundo de Internet, mas tarde o mas temprano se encuentran formas de quebrar la seguridad de cualquier servicio que vea la luz. Por lo que, más allá de lo que se implemente dentro del sitio, para nosotros que estamos del otro lado la confianza reside más en lo que “consideramos” confiable y el resto… lo dejamos a las probabilidades.
OpenId es otro servicio mas, pero esta creado para centralizar los accesos de un solo usuario de varias webs con una sola clave (o sea, me registro en un solo lugar y con eso entro a muchas webs). Esto se logra utilizando un identificador que relaciona al sitio con un proveedor. Este se encarga de darle nuestra password al sitio al que queremos entrar. Para esto, por supuesto, debemos tener un proveedor de OpenId y un sitio que este dispuesto a recibir esa password como valida (Yahoo, Blogger y Technorati son algunos de los que lo usan).
El tema es que la seguridad de la identificación del usuario va por cuenta del servicio de OpenId (que es tan valido como cualquier otro servicio y merece la confianza que “consideremos” apropiada) y el sitio cliente no tiene mucha ingerencia en la misma. Lo obvio de todo esto es que se le dificulta a muchas webs permitir que se ingrese a su sitio con un usuario que ellos no pueden validar por sus propios medios.
La pregunta es: ¿Uds pondrían la identificación de un usuario en manos de un servicio externo?
Todo esto viene a un post que leí en Uberbin.
Totalmente, el problema es que ese tercero sea confiable, pero tener centralizado el acceso es muy bueno, de hecho hay muchas soluciones a nivel empresarial que hacen eso, porque una empresa por ahí tiene muchos servicios y cada uno con su usuario y contraseña y no todos son compatibles con directory server o LDAP entonces se hace necesario un sistema que maneje el single sign on a todos los sistemas satélite.
Pasa algo parecido con los servicios de google, que te logueas en uno y estás logueado en todos ¿a caso no putearías en arameo si tuvieras que poner la contraseña para entrar al mail y a picassa y a blogger y a…?
Claro, a nivel empresarial el logueo es centralizado es una gran ventaja para evitar tener que recordar el user y password de cada aplicación, pero en ese caso el control del acceso siempre queda por cuenta de la empresa.
Claro, pero también es un soft el que lo mantiene y que muy probablemente también esté disponible vía web así que los riesgos son más o menos los mismos, de hecho me preocuparía más que alguien pueda acceder a la casilla de mi laburo a que lean los mails que me mando con mis amigos.
Buenas, ojo con esto ya que se estan detectando sitios en los que se generaron claves usando Debian-SSL, y como todos sabemos este duo tuvo un grandisimo problema, pudiendo en pocos segundos obtener una clave a partir de un hash.
Esto, junto con la no tan reciente vulnerabilidad en los DNSs (a dia de hoy no todos los servers fueron parcheados) forma una combinacion.. un tanto… insegura…
Saludos desde MdP