يمكن للرد من Google/Yahoo! يتم تغييرها في عملية OpenID؟
https://stackoverflow.com/questions/2720121
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
هل من الممكن اختراق عودة الرأس من Google/Yahoo! طلب المصادقة المفتوح؟ أعني أن شخصًا ما يستخدمه@gmail.com للحصول على مصادقة مع Google ثم يغيره@gmail.com إلى me@gmail.com رداً من Google وينتقل إلى الموقع مع حسابي؟
المحلول
نعم ، يمر حمولة المصادقة من المزود إلى الطرف بالاعتماد على متصفح المستخدم ، مما يتيح للمستخدم الفرصة للتفتيش وحتى تغيير ما يتم إعادة توجيهه إلى موقع الويب الحزب.
لكن تم توقيع الحمولة ، لذا فإن أي تغييرات على الجزء الموقّع من الرسالة ستؤدي إلى حدوث الطرف الذي يكتشف العبث ويجب أن يرفض الرسالة.
في الواقع ، لا ، لا يمكنك اختطاف حساب شخص آخر باستخدام هذه الطريقة بسبب عملية التحقق من التوقيع التي تعد جزءًا مدمجًا من OpenID.
نصائح أخرى
لا. إذا كان ذلك ممكنًا ، فسوف يهزم هذه النقطة.
الموقع الذي تقوم به مع محادثات مباشرة مع مزود المصادقة ، ويتحدث مزود المصادقة مع المستخدم. لا يمكن للمستخدم تغيير ما يذهب إلى الموقع ، لأن مزود المصادقة لا يمر عبر المستخدم للوصول إلى الموقع.
