不除安全隐患难普及牛

修复OpenID的安全漏洞远比修复数百万计的单独站更加容易，OpenID也决非医治百病的灵丹妙药。目前，该技术仅适用于在博客发表评论或注册试用软件，还无法满足电子商务或上银行等对安全较为敏感的络应用的需求。

在上个月于伦敦举办的“Web应用未来（FOWA-07）”大会上，英国著名的Web开发人员Simon Willison介绍了OpenID单点登录系统的优势，以及它在制止垃圾信息和其他络犯罪方面的潜力。

站Digg的创始人Kevin Rose宣布他的站将支持OpenID身份验证。前不久AOL也声称任何AOL用户名都可以作为一个OpenID，而微软则意欲整合OpenID和Windows CardSpace。

OpenID单点登录确实会为用户带来巨大的便利。我曾花费了整整一上午的时间来完成三个页的注册，其中每个都要求输入新的用户名和密码。OpenID则能利用属性交换服务来免除这种在多个页面注册的麻烦，该服务允许站从你指定的OpenID提供商处获取详细的个人信息。

或者2999元的 可不幸的是，OpenID在安全上仍存在诸多问题。首先是防范“络钓鱼”、即电子欺诈的功能较弱。用户在登录到一个号称支持OpenID的站时，可能会把输入的用户名和密码送到欺诈页；其次，OpenID依赖于路由到互联上正确机器的URL标识，而这又依赖于进行络地址映射的域名解析系统，众所周知，这种系统存在安全隐患。

在技术规格上，OpenID没有坚持在每个参与用户身份验证的站上采用传输层安全协议(TLS) 。尽管它支持安全身份验证，但并不坚持这么做，这的确是一个失误。一旦用户身份被盗，盗用者就可以使用他的多个账户而不只是一个。

修复OpenID的安全漏洞远比修复数百万计的单独站更加容易，OpenID也决非医治百病的灵丹妙药，该技术仅适用于在博客发表评论或注册试用软件，还无法用于电子商务或上银行等对安全较为敏感的络应用。

我个人殷切期待采用OpenID技术的站能够安全应用该技术。OpenID与CardSpace的整合有望增强它对“络钓鱼”的防御，如果能再支持TLS，那么OpenID在安全上就将迈出更具实质意义的一步，否则它只可能为用户带来灾难。(文/ Tim Anderson )