¿Qué información personal pone a disposición del consumidor un proveedor de OpenID?

Question

El tema de mayor interés es si mi dirección de correo electrónico se transmite al servicio consumidor.

Por ejemplo, si uso Google para iniciar sesión aquí en SO, ¿sabe SO mi dirección de gmail?

¿Conoce mi nombre que ingresé en gmail settingы para usarlo en correos salientes?

¿Un proveedor de OpenID transmite algo más?

Ahora, la pregunta clave: entiendo que un consumidor obtiene algún tipo de valor cifrado/hash para identificar de manera única la cuenta administrada por el proveedor. ¿Qué sucede si deseo restablecer este valor para desasociar mi Google OpenID de todos los sitios y volver a registrarme allí desde cero?

Me resulta bastante estúpido y antipático que SO (y probablemente otros sitios) no informen a sus usuarios sobre estos problemas de privacidad. Usted inicia sesión y no sabe en absoluto lo privado que será. Disparates. Esto probablemente esté escrito en algunas especificaciones de OpenID, pero ¿los leería un usuario común y mucho menos los entendería?

Answer 1

Creo que la especificación de OpenID no especifica si CUALQUIER información personal es compartida. Como tal, esta pregunta tendrá diferentes respuestas dependiendo del proveedor de OpenID que elija usar.

Supongo que la mayoría de los proveedores no hacen ninguna excepción con su nombre de usuario disponible. Sin embargo, realmente desearía leer sus declaraciones individuales sobre el tema.

Answer 2

Intenta leer esto article about OpenID privacy.

Answer 3

Si desea eliminar la ID abierta de GMail, debe buscar la configuración de un openID delegate en su blog u otra URL HTML que controle.

Además, cada vez que me suscribo a un sitio nuevo usando mi OpenID, obtengo la opción de transferir mis campos almacenados (nombre, correo electrónico, etc.) a la página de registro del sitio. También podría ingresar espacios en blanco o nombres inventados cuando me registre.

Cuando utiliza su openID, esencialmente está asociando el openID con sus datos de usuario para la página que se registra. Las únicas piezas de registro que reemplaza son Nombre de usuario, Contraseña.

Si SO solicita un correo electrónico cuando se registre, usted (debería) tener las mismas opciones que cuando inscribe usando una cuenta anónima temporal.

Si registré un nombre de usuario maxwellbatgmaildotcom en un sitio web, esto no está ofuscando mi dirección de correo electrónico demasiado bien, ni está usando un OpenID que contiene datos que no quiere que vuele.

Si desea utilizar un OpenID que no revela ninguna de esta información, obtenga un OpenID o delegue uno en un URI que no se traduzca fácilmente en información confidencial.

Answer 4

Hay un enlace "learn more" en la página de solicitud de inicio de sesión de Google que responde algunas de estas preguntas con respecto a las políticas actuales de Google. Eso incluye:

¿Qué información cuota de Google con estos sitios web?

Google envía un código aleatorio a sitios de terceros para que pueda iniciar sesión en estos sitios con su cuenta de Google. Este código no revela ninguna información personal. Tenga en cuenta que la seguridad de su cuenta de Google no se verá comprometida al iniciar sesión en otros sitios con su cuenta.

¿Qué otra información comparte Google?

Cuando inicia sesión en un sitio de terceros utilizando su cuenta de Google, un sitio puede solicitarle a Google la dirección de correo electrónico asociada a su cuenta, para que pueda ponerse en contacto con usted. [...]

Y aunque dice que sobre la dirección de correo electrónico, y StackOverflow actualmente envía una solicitud sreg para la dirección de correo electrónico, pero Google no está enviando un registro de correo electrónico en respuesta. (Probablemente porque Google admite un estándar diferente para el intercambio de direcciones de correo electrónico.)

La forma en que un proveedor opta por divulgar información personal corresponde a ese proveedor. Es por eso que SO no puede hacer ninguna declaración general para "informar a sus usuarios sobre estos problemas de privacidad", porque todos los datos privados están en manos del proveedor, y es responsabilidad del proveedor gestionarlos de acuerdo con sus deseos.

Es posible que desee elegir su proveedor de acuerdo con eso. Afortunadamente, la mayoría de los proveedores son bastante explícitos acerca de qué información se solicita y divulga.

En cuanto a su pregunta sobre el cambio del identificador hash de Google ... No conozco nada en su interfaz de usuario que le permita hacer eso. Necesitarías usar otro OpenID. (O bien otra cuenta de Google o un OpenID de otro proveedor.) Pero esa es una solicitud de función para Google.

Answer 5

Con OpenID, usted está delegando su autenticación a su proveedor. ¿Exponen su dirección de correo electrónico a los sitios que usa para autenticarse? ¿Revelan tu información a cualquiera que pregunte? ¿Dejan que alguien se autentique usando su ID? ¿Desaparecerán mañana, dejándote incapaz de autenticarte? Depende del proveedor, y usted tiene que confiar en ellos o cambiar.

Es incidental a su pregunta, pero esta es la razón por la cual es una buena idea usar una página web pública simple que delegue su OpenID a un proveedor, que puede cambiar sin cambiar las identidades.