kann die Antwort von Google / Yahoo! OpenID Prozess geändert werden?
https://stackoverflow.com/questions/2720121
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
ist es möglich, den Kopf kehrt von Google / Yahoo zu hacken! Authentifizierungs-Anfrage OpenId? Ich meine jemand jemand Gebrauch him@gmail.com zu mit Google erhalten authentifiziert und dann ändert him@gmail.com zu me@gmail.com als Reaktion von Google und um Seite mit meinem Konto angemeldet werden?
Lösung
Ja, die Authentifizierungs-Nutzlast vom Provider auf die Berufung Partei geht durch den Browser des Benutzers, den Benutzer die Möglichkeit zu geben, zu prüfen und zu ändern, selbst was auf die vertrauende Website weitergeleitet wird.
Doch die Nutzlast unterzeichnet ist, so dass alle Änderungen an den signierten Teil der Nachricht in den vertrauende Erkennung führen Manipulation stattgefunden hat und soll die Nachricht ablehnen.
Also in der Tat, nein, man kann nicht Hijack jemand anderes Konto mit dieser Methode wegen des Signaturprüfungsprozesses, der ein integrierten Bestandteil von OpenID ist.
Andere Tipps
Nein. Wenn es möglich wäre, dass der Punkt besiegen würde.
Die Website, die Sie mit Gesprächen Authentifizierung sind direkt mit dem Authentifizierungs-Provider, und die Authentifizierungsanbieter Gespräche mit dem Benutzer. Der Benutzer kann nicht ändern, was auf der Seite geht, weil der Authentifizierungsanbieter nicht durch den Benutzer geht auf die Website zu erhalten.
