代码之家 › 专栏 › 技术社区 › Richard JP Le Guen

PHP OpenID不能与Google/Yahoo一起工作,hacks可以修复它……它们安全吗?

google-account janrain security openid php

Richard JP Le Guen · 技术社区 · 14 年前

我一直在试用OpenID,并设置了一个示例网页,以便使用我的OpenID帐户进行访问。我用的是 Php OpenID Library by Janrain 我的谷歌账户也没用。一点研究让我找到了 this question ,这表明问题在于谷歌使用 https 还有。。。

原始库是否存在这些黑客设计修复的任何缺陷,因此黑客是一个潜在的安全漏洞?

有没有一个合格的加密专家在那里谁看了任何这些解决方案,走了“大卫乔姆的胡子!

如果是这样-因此我不应该使用这些黑客-我该如何检查我“安装了ca证书包”?

3 回复 | 直到 7 年前

Community T.Woody 7 年前

尤其是CURLOPT\u SSL\u VERIFYPEER 和CURLOPT\u SSL\u VERIFYHOST为true by 为测试页面工作!

google.com 请求 bad-guys.example bad-guys !"

当然,除非您不验证任何证书(您设置了所有 SSL_VERIFY 选项 false 坏人 好像它是真正的谷歌供应商。你可以想象那是多么糟糕。

坦白说,这不是 最差的 你可以做出选择,因为这并不比仅仅使用HTTP更糟糕,很多人都这么做。你只是 lying to your users 如果你暗示你正在提供HTTPS级别的安全性,而你没有。

而且有很多关于基于dns的攻击有多容易或不容易,或者攻击有多容易的信息 forge SSL certificates . 不管是哪种方式,它都需要有人攻击你的服务器和Google之间的连接 通常地 比攻击咖啡店用户的笔记本电脑和服务器之间的连接更难。

但是,实际上修复PHP或CURL SSL配置要好得多。或者,如果你不这样做,在用户注册HTTPS标识符时警告他们,这样他们就可以选择是否真的想在你的站点上使用这个OpenID。

Curl docs on SSL certificates ; 请参阅“获取更好/不同/更新的CA证书捆绑包”部分

Richard JP Le Guen 14 年前

来自维基百科关于 Certificate Authority

CA颁发包含公钥和所有者身份的数字证书。当最终用户试图访问未知URL时,web浏览器(如Mozilla Firefox和Microsoft Internet Explorer)将与CA联系以确认URL的公钥。

... 所以CA证书是 Public Key Certificate 用于通过 https:// CURLOPT_CAINFO 指向其位置的常量。 See this article .

-1

Jeriko 14 年前

[…]有人知道不这样做的理由吗使用这些黑客版本?

除此之外,他们是黑客版本,这是最有可能没有文件,并没有保证他们的行为?

我不能具体回答,但当您使用应用了快速修复和解决方法的模块时,应该会有一些警告灯闪烁,特别是在处理授权和安全性时。。我认为最好的建议是“使用风险自负!”

我相信对这个话题有更多了解的人很快就会得到一个更明智的答案。