Может ответ от Google/Yahoo! измениться в процессе openID?
Можно ли взломать возврат заголовка от Google/Yahoo! запрос аутентификации openid? я имею в виду кого-то, кто использует him@gmail.com для аутентификации в Google, а затем в ответ от Google меняет him@gmail.com на me@gmail.com и входит на сайт с моей учетной записью?
2 ответа
Да, полезная нагрузка аутентификации от поставщика к проверяющей стороне проходит через браузер пользователя, давая пользователю возможность проверять и даже изменять то, что перенаправляется на веб-сайт проверяющей стороны.
Однако полезная нагрузка подписана, поэтому любые изменения в подписанной части сообщения приведут к тому, что проверяющая сторона обнаружит вмешательство, и должны отклонить сообщение.
Таким образом, по сути, нет, вы не можете захватить чужую учетную запись с помощью этого метода из-за процесса проверки подписи, который является встроенной частью OpenID.
Нет. Если бы это было возможно, это победило бы.
Сайт, с которым вы аутентифицируетесь, общается напрямую с провайдером аутентификации, а провайдер аутентификации общается с пользователем. Пользователь не может изменить то, что идет на сайт, потому что поставщик аутентификации не проходит через пользователя, чтобы попасть на сайт.