最重要的问题是我的电子邮件地址是否会被传输到消费服务。
例如,如果我使用 Google 在此处登录 SO,SO 是否知道我的 gmail 地址?
他知道我在 gmail 设置中输入的用于发送邮件的名字吗?
OpenID 提供者是否传输其他任何内容?
现在,锤子问题:我知道消费者会获得某种加密/散列值来唯一标识提供商管理的帐户。如果我想重置此值以从所有站点与我的 Google OpenID 取消关联并从头开始重新注册,该怎么办?
我发现 SO(可能还有其他网站)不告知用户这些隐私问题是非常愚蠢和不友好的。您登录后,您根本不知道自己将变得多么私密。废话。这可能是在一些 OpenID 规范中编写的,但普通用户会阅读它们,更不用说理解它们了吗?
【问题讨论】:
标签: openid
【讨论】:
Google 登录请求页面上有一个“learn more”链接,可以回答有关 Google 当前政策的部分问题。其中包括:
Google 与这些网站共享哪些信息? Google 会向第三方网站发送一个随机代码,以便您使用自己的 Google 帐户登录这些网站。此代码不会泄露任何个人信息。请注意:使用您的帐户登录其他网站不会危及您 Google 帐户的安全性。 Google 还会共享哪些其他信息? 当您使用 Google 帐户登录第三方网站时,网站可能会要求 Google 提供与您的帐户关联的电子邮件地址,以便与您联系。 [...]
虽然它提到了电子邮件地址,但 StackOverflow 目前确实发送了一个电子邮件地址的 sreg 请求,但 Google 没有发送电子邮件记录作为回应。 (可能是因为 Google 支持不同的电子邮件地址交换标准。)
提供商如何选择披露个人信息取决于该提供商。这也是为什么 SO 不能做出任何笼统的声明来“告知他们的用户这些隐私问题”,因为所有的私人数据都在提供者的手中,提供者有责任根据您的意愿对其进行管理。
您可能希望基于此选择您的提供商。幸运的是,大多数提供商都非常明确地说明了请求和发布的信息。
至于您关于更改 Google 哈希标识符的问题...我不知道他们的用户界面中有任何内容允许您这样做。您需要使用另一个 OpenID。 (另一个 Google 帐户或来自另一个提供商的 OpenID。)但这是对 Google 的功能请求。
【讨论】:
我相信 OpenID 规范并未指定是否共享任何个人信息。因此,根据您选择使用的 OpenID 提供商,这个问题会有不同的答案。
我猜大多数提供商不会对您的用户名提供任何例外。但是,您真的很想阅读他们关于这个问题的个人陈述。
【讨论】:
如果您想从 GMail 中删除 open ID,您应该考虑在您的博客或您控制的其他 HTML URL 上设置一个 openID delegate。
此外,每当我使用我的 OpenID 注册一个新站点时,我都可以选择将我存储的字段(姓名、电子邮件等)转移到该站点的注册页面。我也可以在注册时输入空格或编造姓名。
当您使用您的 openID 时,您实际上是将 openID 与您注册页面的用户数据相关联。它唯一替换的注册部分是用户名、密码。
如果 SO 在您注册时要求提供电子邮件,您(应该)拥有与使用临时匿名帐户注册时相同的选项。
如果我在网站上注册了用户名 maxwellbatgmaildotcom,这并不会很好地混淆我的电子邮件地址,也不会使用包含您不想到处乱跑的数据的 OpenID。
如果您想使用不透露任何此类信息的 OpenID,请获取一个 OpenID 或在一个不易转换为敏感信息的 URI 上委托一个。
【讨论】:
使用 OpenID,您将身份验证委托给您的提供商。他们是否将您的电子邮件地址暴露给您使用它进行身份验证的网站?他们会向任何询问的人透露您的信息吗?他们是否允许任何人使用您的 ID 进行身份验证?它们明天会消失,让您无法进行身份验证吗?这取决于提供商,您必须信任他们,或者切换。
您的问题是偶然的,但这就是为什么最好使用一个简单的面向公众的网页,将您的 OpenID 委托给提供商,您可以在不更改身份的情况下进行切换。
【讨论】: