Parece que he caído en el malentendido que tienen los demás: la pregunta era sobre la autorización externa. Personalmente, solo confiaría en la autorización distribuida en una red local donde tengo control sobre los servidores de autenticación y autorización. Nunca usaría autorización externa en un sitio web.
A continuación se presentan mis comentarios sobre OpenID como un servicio de autenticación.
1) Como se señaló, autorización! = Autenticación. OpenID maneja la autenticación, pero el propietario de la aplicación web todavía tiene control total sobre los derechos asignados a ese inicio de sesión. Esto es positivo, pero la confusión sobre esto es negativa.
2) No puedo encontrar el enlace, pero OpenID está abierto a ingeniería social/principal en el medio/ataques de phishing. Los proveedores intentan evitar esto (imágenes de identificación, certificados de navegador, verificación de devolución de llamada, etc.) pero no ayuda cuando el sitio de black hat muestra un diálogo/página que dice "ingrese su nombre de usuario y contraseña de OpenID" y el genio el usuario cumple.
3) Cada proveedor de una identificación federada tiene la capacidad (y algunos dirían responsabilidad) de rastrear todas las actividades de sus usuarios, independientemente de para qué sitio utilicen la ID. Esta es la razón por la que Google y Yahoo están encantados de proporcionar identificaciones federadas, pero no tan entusiasmados con consumir ellos.
4) Contrariamente a un comentario anterior, comúnmente el uso de OpenID reduce la barrera para el registro, especialmente cuando una UI útil señala que un nuevo usuario probablemente ya tenga un OpenID. Esto es aún más cierto cuando usa una solución combinada de OpenID/OAuth como RPX.
Por lo tanto, desde mi punto de vista, los riesgos de usar OpenID están en el usuario, no en el sitio web. No puedo evitar que el usuario sea atacado haciéndoles tratar de recordar otro ID de usuario & contraseña. Además, Black Hats no necesita hacer nada más nefasto que almacenar las contraseñas de usuario para su sitio en texto plano para obtener acceso a las otras cuentas de un usuario. ¿Cuántas personas usan una contraseña diferente para cada sitio web en el que inicie sesión?
¿Fuimos solo yo o la mayoría de las respuestas fallaron en actuar sobre la diferencia entre autenticación y autorización? –
No es que ... pensé que el interrogador estaba equivocado primero (mediante la lectura de las respuestas) ... pero luego en realidad leer la pregunta ;-) – fretje
así que supongo que es "falta de conciencia" :) – fretje