Desde que apareció OpenID me mostré bastante interesado por la idea: un servicio único (aunque distribuido) de identificación en la red, algo así como un conjunto de “servidores DNS sobre las personas” que permitiría obviar de vez en cuando, y cada vez más, la tediosa tarea de rellenar formularios de registro en las webs. Aunque la idea me pareció genial en este sentido, se me venían a la cabeza problemas como la gestión de la confianza de unos servidores en otros (que se resolvería utilizando certificados digitales entre ellos), y la posibilidad de que un servidor “malicioso” entrase en el juego, por ejemplo mediante un ataque de phishing.
Han sido varios los problemas que han surgido en torno a OpenID en este tiempo, ya sean relacionados directamente con la idea o con las tecnologías sobre las que se sustenta. Por ejemplo, la debilidad en el generador de números aleatorios de Debian provocada por una actualización del código en el que se “limpió” de una “molesta” herramienta de depuración, eliminando de paso la inicialización de la semilla de números aleatorios y que llevó a tener que actualizar OpenSSL para Debian y sistemas derivados del mismo, como Ubuntu, pero que ha dejado libres multitud de certificados digitales vulnerables que deberían ser generados de nuevo. Pues bien, varios proveedores de OpenID (de bastante magnitud además) fueron afectados por dicho problema.
Hace unos días se presentó una noticia sobre la vulnerabilidad del algoritmo del servidor de OpenID utilizado en Weblogs, S.L. y en multitud de servicios similares. Se trataba de un código en PHP que ya no está siendo mantenido, y que presentaba diversas vulnerabilidades que permitirían a un usuario malicioso realizar un ataque combinado de XSS y XSRF mediante el que podría usurpar la identidad del usuario que accediese al sitio web malicioso. El descubridor de las vulnerabilidades, José Carlos, abunda en la descripción del ataque e incluye en su blog un exploit demostrativo. Afortunadamente, Weblogs ha sido avisada de esto y se ha corregido el problema, pero es altamente probable que muchos servidores se encuentren afectados por éste.
Si a todo esto sumamos que OpenID no ha tenido la acogida que habría sido de esperar ante lo interesante de la idea, ¿en qué estado se encuentra ahora este sistema de identificación digital? ¿Vosotros usáis OpenID habitualmente? ¿Qué os parece, en uno u otro caso, dicho sistema? Os dejo algunos enlaces interesantes al respecto.
- Maestros del Web.
- Herramientas anti-phishing en MyOpenID
- Phishing en OpenID. Aunque algo antigua, interesante.
- El generador de números aleatorios de Debian, comprometido.
Yo desde luego sí que utilizo OpenID; me registré en WebLogs S.L., la entidad que gobierna blogs como Xataka, y sobre todo utilizo esta cuenta OpenID para autenticarme a la hora de realizar comentarios en otras webs, etc.
ResponderEliminarPara mí la idea base es buenísima, creo que es muy cómodo poder autenticarte utilizando una sola cuenta. Tienes todos tus datos centralizados y asociados a una web o blog y te olvidas de todo lo demás, sobre todo para no tener millones de pares user/pass diferentes en Internet.
Alguna vez he tenido problemillas con la autenticación, aunque no conocía estos problemas de seguridad de los que me hablas. Le prestaré atención al tema...
SaludoX.