Considero OpenID como un método de inicio de sesión para mi aplicación PHP, pero hay una cosa que me impide continuar: ¿cómo puedo proteger a un consumidor de OpenID contra el abuso?¿Cómo proteger a un consumidor de OpenID contra el abuso?
An example of abusing OpenID by using a consumer as proxy
abuso incluye inundar otros servidores de solicitudes, utilizando mi aplicación como un proxy, pasando una descarga grande como URL o innecesariamente ralentizar el servidor haciendo un montón solicitudes.
Supongo que debería implementar la limitación de velocidad en las solicitudes, pero ¿cómo se supone que voy a hacer eso? Los posibles atacantes podrían usar otros proxies o TOR para eludir las comprobaciones de IP. Limitar los proveedores que están permitidos estaría en contra de los principios de OpenID ¿verdad?
No espero que mis usuarios sean malvados, pero me gustaría saber qué cosas debo tener en cuenta antes de agregar otro posible vector de ataque.
En caso de que importe, estoy a punto de usar lightopenid como back-end para la aplicación PHP.
La dirección IP del cliente parece ser una buena opción, probablemente utilizando la parte C-class para disminuir aún más las posibilidades de abuso. – Lekensteyn