使用OpenID登录后,Yahoo帐户仍然打开。为什么?
-
01-10-2019 - |
题
我已经添加了Yahoo!的OpenID登录和Google在我的网站中。还可以,正常工作。
当用户选择例如yahoo!要登录我的网站,他们也将在其Yahoo邮件帐户中登录。
我认为这是不安全的,因为也许他们没有注意到此问题并在其电子邮件帐户可用时离开计算机。
您如何看待这一点,您对自己的网站的解决方案是什么?我注意到stackoverflow.com也是如此。
解决方案
通常是一个会话cookie,因此,如果他们关闭浏览器,他们会没事的,但是我会担心。实际上,我很想知道Yahoo!团队必须自己说。如果没有人来自Y!找到这个问题,我会问 Yahoo OpenID开发人员论坛.
其他提示
当您使用Yahoo登录到OpenID时,将有2个会话,一个是Yahoo.com域,另一个是目标站点的会话(例如Stackoverflow.com)。
借助Target网站的会话(来自Stackoverflow.com域),即使您在目标站点上的cookie暴露了cookie,攻击者也无法在主Yahoo帐户上执行任何操作。
如果您担心Yahoo帐户,则可以在使用Stackoverflow.com身份验证后从Yahoo.com域注销
笔记: :它不仅与雅虎,谷歌和其他人也是如此,也不是问题。
不隶属于 StackOverflow