如何保护 OpenID 消费者免遭滥用？

Question

我正在考虑将 OpenID 作为我的 PHP 应用程序的登录方法，但有一件事阻止我继续：如何保护 OpenID 使用者免受滥用？

使用消费者作为代理滥用 OpenID 的示例

滥用包括向其他服务器发送大量请求、使用我的应用程序作为代理、将大量下载作为 URL 传递或通过执行大量请求来不必要地减慢服务器速度。

我想我应该对执行请求实施速率限制，但我该怎么做呢？可能的攻击者可以使用其他代理或 TOR 来绕过 IP 检查。限制允许的提供商违反了 OpenID 的原则，对吗？

我不希望我的用户是邪恶的，但我想知道在添加另一个可能的攻击向量之前需要考虑哪些事情。

如果重要的话，我将使用 lightopenid 作为 PHP 应用程序的后端。

Answer 1

您需要将攻击分为两个池。 1) 针对您自己的网站的攻击，以及 2) 针对使用您作为代理的其他人的攻击。这些问题都不是新问题，也不是 OpenID 独有的。例如，经典的“告诉朋友”电子邮件表单可以自动从代理方的 IP 地址和电子邮件发送垃圾邮件，保护垃圾邮件发送方免受后果，并为他们提供（可能）干净的 IP/电子邮件已被垃圾邮件防护标记。这主要是通过“CAPTCHA”解决的，以防止表单的自动使用。

对于针对您自己网站的攻击，这方面的内容之前已经被介绍过无数次了。请尝试此处：保护自己免受 DOS 攻击

对于针对他人网站的攻击，许多与其他问题中提到的原则相同。限制身份验证请求，拒绝不合理或格式错误的请求，根据 POST 返回的实际内容验证 Content-Length 标头，当然，您始终可以添加经典的“CAPTCHA”以帮助防止使用 OpenID 消费者的自动攻击。

与此处的其他建议相反，我不会根据 OpenID TLD 进行限制，而是根据请求方的 IP 地址进行限制。是的，人们可以租用代理 IP，但您无法根据 TLD 进行公平限制，因为每个 OpenID 提供商的用户群差异很大。您还可以从 MaxMind 等公司购买已知代理 IP 的数据库。如果用户来自代理 IP，请增加限制的强度。

Answer 2

根据请求某个域的次数按比例减慢请求。

例如，假设有人试图通过请求许多 URL（例如 http://example.com/foo、http）来使用您对服务器 example.com 进行 DOS 操作://example.com/bar、http://example.com/foobar120382。将所有这些请求视为对 example.com 的请求，并立即执行第一个请求。在发出下一个请求之前延迟 2 秒，在发出第三个请求之前延迟 4 秒，在发出第四个请求之前延迟 8 秒，在第五个请求之前延迟 16 秒，依此类推。

人类用户几乎不会注意到如此小的延迟，但会大大降低服务器充当 DOSsing 代理的能力。试想一下，第 12 个请求将被阻止超过 1 小时（如果使用 2 的幂）。

显然，您还应该为常见的大型 OpenID 提供商（例如 Google 或 myOpenID）创建某种白名单或灰名单。这些域名可能会被频繁请求。

Answer 3

我会做一些更简单的事情。将 OpenID 端点限制为一组有限的可信端点：Google、wordpress、myopenid、yahoo。它可能会覆盖大多数用户，并且不会让机器人让您的网站产生随机网站的流量。