account Yahoo rimane aperto dopo usando OpenID per login.why?

Question

Ho aggiunto login OpenID con Yahoo! e Google nel mio sito. è ok e funziona bene.

quando gli utenti selezionano per esempio Yahoo! Per accedere a mio sito, saranno registrati nella loro account di posta Yahoo troppo.

penso che non è sicura perché forse non lo fanno avviso a questo computer problema e del congedo, mentre il loro account di posta elettronica è availble.

che ne pensi di questo e qual è la soluzione per i tuoi siti? come ho notato la stessa storia è per stackoverflow.com.

Answer 1

E 'tipicamente un cookie di sessione, quindi se chiudono il browser saranno a posto, ma ottengo la vostra preoccupazione. Sarei davvero curioso di sentire cosa Yahoo! squadra ha da dire su questo se stessi; se nessuno da Y! trova questa domanda che mi avrebbe chiesto oltre al Yahoo OpenID Developer Forum .

Answer 2

Quando si accede a OpenID con Yahoo, ci saranno 2 sessioni, è per yahoo.com dominio e un altro è una sessione per il sito di destinazione (ad esempio stackoverflow.com).

Con la sessione dal sito di destinazione (da stackoverflow.com dominio), attaccante non può fare nulla sul vostro account Yahoo principale, anche se i cookie sul sito di destinazione esposti.

Se ti preoccupi per il tuo account yahoo, si potrebbe disconnettersi da yahoo.com dominio dopo sei stato autenticato con stackoverflow.com

Nota :. La sua non solo con Yahoo, Google e anche gli altri stessi machanisms, dovrebbe essere nessun problema con questo