OpenIDのセキュリティ面

はじめまして、バンブーウエイブ岡崎です。
弊社では、まだOpenIDの案件は対応したことがなく、仕様を眺めた上での想定になりますが、
私のほうで感じた注意点を紹介します。

**OpenIDの説明を明記

いまのところ、OpenID自体が一般にはそれほど広まっていないことから、
ユーザーへ
・OpenIDがどういったものかの紹介
・おすすめの認証サイトの紹介
が必要かと思います。

確かに、認証や属性情報、パスワードの管理を認証サイトに任せているので、
サイト側には責任がないはずですが、初めて利用されるユーザーもいますので、
注意喚起しておいた方がいいかと思います。


**認証サイトについて

OpenIDの認証は認証サイトにゆだねられ、OpenID自体の仕様はオープンですので、
だれでも認証サイトを造ることが可能になります。

いまいまでは、日本では使用している人も少ないので、あまり必要ないでしょうが、
ブラック認証サイトの対応を検討しておいたほうがいいかもしれません。


**属性情報について
OpenID認証を行うと、属性情報が取得できますが、この情報の扱いに注意が必要かと思います。


**登録フローの変更
OpenIDを認証に利用することで、通常は会員登録時にID発行と属性情報の入力を同時に行うことが多いですが、認証後、属性情報を登録してもらうというフローになります。


**OpenIDの扱い
多くのユーザー、サイトがOpenIDを利用することでOpenIDの情報としての重要性も向上していきます。OpenIDを悪用することもでてくるかと思います。
ユーザーを守る為にも、OpenIDはサイトでは公開しないほうがよいかと思います。

ご参考になれば幸いです。

WEBコンサルティングのバンブーウエイブ