使用OpenID的跨域登录涉及哪些安全问题? -- security 领域 和 authentication-authorization 领域 drupal 相关 的问题

What security issues are involved with cross-domain logons using OpenID?


6
vote

问题

中文

我想实现3个站点的跨域登录。 OpenID是保护我的网站和用户的最佳工具吗?

英文原文

I want to implement cross-domain logons for 3 sites. Is OpenID the best tool for protecting my site and users?

     

回答列表

5
 
vote
vote
最佳答案
 

就我所知,OpenID是合理的安全性。 OpenID的缺点是,非技术用户理解这是相当复杂的。像这个可能会让您的用户更容易。 让您的网站成为OpenID提供者,但他们似乎没有准备好生产网站简要浏览问题。

另一个选项可能是 oauth 。这将让您的用户使用Facebook,Twitter和LinkedIn等网站登录其帐户。

如果所有3个站点都是Drupal站点,则可以通过共享某些数据库表来共享站点之间的用户在站点之间共享用户。这将允许您在站点配置文件之间共享有关用户的其他信息。

在drupal.org上的此页面描述了详细信息,以及缺点。不支持主要的主要是升级到主要的Drupal更新。老实说,除非你知道多么了解Drupal工作的数据库一侧的大小,否则我不会推荐这个。

 

As far as I'm aware OpenID is reasonably secure. The downside to OpenID is that it's fairly complicated for non-technical users to understand. Something like this might make that a little easier on your users. There are options to make your site the OpenID provider, but they don't seem ready for production sites yet from a brief skim through the issues.

Another option might be OAuth. This would let your users log in with their accounts from sites like Facebook, Twitter and LinkedIn.

If all 3 sites are Drupal sites, one final solution might be to share the users between the sites, by sharing certain database tables. This would allow you to share other information about your users between the site profiles as well.

This page on Drupal.org describes the details, as well the downsides. Main one being that upgrades to major Drupal updates aren't supported. I honestly wouldn't recommend this unless you know a great deal about how the database side of Drupal works.

 
 

相关问题

8  在不支持之后,Drupal 6将以安全的状态留下?  ( Will drupal 6 be left in a secure state after it becomes unsupported ) 
我使用drupal 6 + 视图 + cck 对我公司的工作非常好,最近我必须将它迁移到另一台服务器。 我想"嘿,为什么不安装drupal 7然后转储数据库:然后我可以在迁移时将drupal升级到最新版本!" 结果是一个坏主意。 Drupal 7似乎没有丝毫的线索如何处理我给它的数据库信息。升级指南现在看起来非...

148  推荐的目录权限是什么?  ( What are the recommended directory permissions ) 
我正在努力部署drupal 7站点,我找不到关于建议的安全有效文件和目录权限的任何文档。 特别是 default/files/ (也是子目录?), settings.php , .htaccess 以及其他任何我应该知道的。 ...

4  如何将独立的PHP文件放入Drupal 6?  ( How do i go about putting standalone php files into drupal 6 ) 
我想添加一个额外的酷炫php类,我将把它放在drupal中,我如何使代码不呈现安全风险,我应该把它变成一个模块吗? ...

2  WebForm和Salesforce API是否有任何安全考虑?  ( Is there any security consideration with webform and salesforce api ) 
我们正在为我们的客户实施Salesforce Webform模块,如果在其服务器上安装SOAP有任何安全问题,请询问我们。 (Salesforce API需要安装SOAP以便Drupal与其通信。) ...

3  导入实体类型时有哪些潜在的安全问题?  ( What are the potential security issues when importing an entity type ) 
我正在使用模块。 如果启用了模块,则会有一个概述页面,显示不同内容类型的字段结构。然后,访问者可以单击按钮以获取捆绑包字段结构的副本(JSON编码),然后使用代码在其网站上创建该内容类型。基本上,除了复制和粘贴而不是下载之外的特征。 潜在的安全问题是什么?有没有办法确保托管站点(从中复制内容类型的网站)将无法执行任何...

2  页面访问的代码  ( Code for page access ) 
我想在特定内容类型的节点中使用PHP代码。我可以通过全局 $user 检查用户的权限,如果用户可以访问节点。 是否有任何模块来设置创建的页面内容的视图? 使用此代码检查页面访问是否安全? global $user; // Check to see if $user has the administrator r...

97  在块,节点,视图 - args等中使用PHP过滤器代码的缺点是什么?  ( What are the downsides of using php filter code in blocks nodes views args et ) 
我已经看到很多时候人们说不要在块,节点,观看args,规则等中使用自定义PHP / PHP过滤器(来自DRUPAL UI),我已经搜索了一下,并没有找到太多,似乎这是一个笨拙的最佳实践,全部"只是知道" 。 我理解它占据了潜在的安全风险,特别是在最终用户或人民的手中,而是作为开发人员/网站建设者,不使用来自Drupa...

4  在10-15岁的时间内维持Drupal网站的方式/策略是什么?  ( What are the ways strategies to maintain drupal sites a over period of 10 15 yea ) 
我们已经开始使用Drupal作为PHP编程框架(而不仅仅是CMS)。结果,我们在Drupal(6或7)上运行了许多项目。 通常,在2 - 3年后,项目越过,该项目没有进一步发展。然后,我们将该项目放入维护或休眠模式。 问题是,在项目结束时,几乎没有任何款项用于积极维护(例如更新的安全修复程序的模块/核心),该项目...

5  安全页面模块未重定向  ( Secure pages module is not redirecting ) 
i安装了安全页面在一个站点上,我需要保护管理员和用户登录页面。通常,它执行它的工作,但是当用户首次尝试登录并进入/用户页面时,该页面未被重定向到安全页面。表单操作属性被重写为相应的HTTPS链接。 你有什么想法为什么可以发生这种情况? 在安全页面配置中,我使用'仅制作安全的页面'选项,并尝试"用户" ,"用户*" ...

1  安全登录不起作用  ( Secure login not working ) 
我正在使用安全登录模块运行drupal 7并登录脚音。安装它后,转到 http://site.com 我看到了常规网站,使用登录按钮。 登录表单 action 没有改变,它仍然是 /node?destination=node 的帖子。果然,如果我登录,我的密码将在清除中发送给 http://site.com/node...

3  Drupal的内置XSS过滤器与HTML Purifier模块  ( Drupals built in xss filters vs html purifier module ) 
htmlpurifier模块 filter_xss ? 在为什么我应该使用 htmlpurifiers modul 如果我纯粹关心安全性(不关心保留内联样式)。 ...

2  Drupal模块安全页面在重新加载时在HTTP和HTTPS之间切换  ( Drupal module secure pages toggles between http and https on reload ) 
我正在使用安全的页面drupal模块来为一些页面启用https,但我已经注意到了一个错误,每次我重新加载到HTTP和HTTPS之间的页面,如果我来自安全页面到另一个安全页面(例如,根据设置安全的登录登录)目的地页面将在HTTP中,但如果我刷新它在安全和非安全之间切换,则报告类似的问题这里 ...

2  如何收到安全更新?  ( How do i receive security updates ) 
在我的客户网站上,我在上打开了更新模块。他们不时在每个页面上收到有关安全更新的每个页面的错误消息。他们抱怨这条消息,他们不想看到它,所以我将模块关闭。我仍然希望及时了解所有安全升级。如何确保我收到安全更新?有没有饲料,电子邮件列表? ...

4  允许所有用户角色的完整HTML(HTML过滤器)输入安全吗?  ( Is allowing full html html filter on input for all user roles safe ) 
只要我启用HTML过滤器,允许所有用户角色的完整HTML输入安全? ...

2  在使用数据库抽象层时,我应该在哪些情况下个人消毒输入和输出  ( In what cases should i personally sanitize input output when using the databas ) 
我正在尝试更清晰地了解我网站上的安全漏洞。在我的代码中没有任何点,我曾直接查询MySQL数据库;我始终使用数据库抽象层(db_query()等)。在什么情况下可能这不提供足够的防止SQL注入攻击的保护? 我正在使用drupal 7。 ...

1  使用D7和SSL不安全的内容警告  ( Insecure content warning with d7 and ssl ) 
我正在使用Drupal Commerce模块运行Drupal 7。我的服务器上启用了SSL。我确认已启用SSL(如果我用简单的index.html替换Drupal的index.php,Chrome允许我通过HTTPS浏览到我的域)。 我正在获得这样的错误消息: The page at https://examp...

4  如果我使用node_save()创建一个新节点,我是否需要手动转义用户输入?  ( If i use node save to create a new node do i need to manually escape user inp ) 
我正在为drupal 6编写一个自定义模块,以编程方式使用node_save()创建一个节点。 各种自定义节点字段来自用户输入 - 是否有必要手动转义这些字段,或者Node_Save()将为我提供保养吗? ...

16  check_plain()足够吗?  ( Is check plain enough ) 
是 check_plain() filter_xss() ? ...

31  值与safe_value之间的差异  ( Differences between value and safe value ) 
['value'] 和 ['safe_value'] 之间的差异是什么? ...

1  节点标题中的解码实体  ( Decode entities in node titles ) 
我有一些正在保存的节点标题和&并表现得那种方式。 是否有没有办法在保存时不会对它们进行编码?我尝试了: $node = node_load(727); $node->title = html_entity_decode($node->title); node_save($node); i转储节点并...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.