peut la réponse de Google / Yahoo! être changé en cours openID?
https://stackoverflow.com/questions/2720121
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
est-il possible de pirater les retours d'en-tête de Google / Yahoo! l'authentification OpenID demande? i utilise la moyenne de quelqu'un quelqu'un him@gmail.com pour obtenir authentifiées avec Google puis change him@gmail.com à me@gmail.com en réponse de Google et se connecté sur le site avec mon compte?
La solution
Oui, la charge utile d'authentification du fournisseur à la partie utilisatrice passe par le navigateur de l'utilisateur, ce qui donne à l'utilisateur la possibilité d'inspecter et même changer ce qui sera transmis au site Web de la partie utilisatrice.
Cependant la charge utile est signé, de sorte que toute modification apportée à la partie signée du message se traduira par la partie se fiant détecter la falsification a eu lieu et devrait rejeter le message.
Donc, en effet, non, vous ne pouvez pas pirater quelqu'un d'autre compte en utilisant cette méthode en raison du processus de vérification de signature qui est une partie intégrée d'OpenID.
Autres conseils
. S'il était possible, ce serait défaite au point.
Le site que vous authentifier avec des discussions directement avec le fournisseur d'authentification, et les pourparlers de fournisseur d'authentification avec l'utilisateur. L'utilisateur ne peut pas changer ce qui se passe sur le site, car le fournisseur de auth ne passe pas par l'utilisateur pour accéder au site.
