¿puede la respuesta de Google / Yahoo! ser cambiado en el proceso de OpenID?
https://stackoverflow.com/questions/2720121
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿es posible cortar los rendimientos de cabecera de Google / Yahoo! la autenticación OpenID solicitud? Me refiero a alguien a alguien utiliza him@gmail.com se autentican con Google y luego cambia a him@gmail.com me@gmail.com en respuesta de Google y de sesión de usuario en el sitio con mi cuenta?
Solución
Sí, la carga de autentificación del proveedor a la parte que confía pasa por el navegador del usuario, dando al usuario la oportunidad de inspeccionar e incluso cambiar lo que se reenvía al sitio web de confianza.
Sin embargo la carga útil está firmado, de modo que cualquier cambio en la porción firmado del mensaje resultará en la parte que confía la detección de manipulación ha tenido lugar y debe rechazar el mensaje.
Así pues, en efecto, no, no se puede secuestro cuenta de otro usuario utilizando este método debido al proceso de verificación de firma que se incorpora un parte de OpenID.
Otros consejos
No. Si fuera posible, habría que anule el punto.
El sitio que está autenticación con conversaciones directamente con el proveedor de autenticación, y las conversaciones proveedor de autenticación con el usuario. El usuario no puede cambiar lo que va al sitio, debido a que el proveedor de autenticación no pasa por el usuario para llegar al sitio.
