può la risposta da Google / Yahoo! essere cambiato nel processo di OpenID?
-
01-10-2019 - |
Domanda
è possibile hackerare i rendimenti di intestazione Google / Yahoo! l'autenticazione OpenID richiesta? Voglio dire usi qualcuno qualcuno him@gmail.com per ottenere l'autenticazione con Google e poi cambia him@gmail.com a me@gmail.com in risposta da parte di Google e ottenere registrati al sito con il mio account?
Soluzione
Sì, il carico utile di autenticazione dal provider al Partito Basandosi passa attraverso il browser dell'utente, dando all'utente la possibilità di ispezionare e anche cambiare ciò che viene trasmesso al sito web relying party.
Tuttavia il carico utile è firmato, quindi eventuali modifiche alla parte firmata del messaggio comporterà la relying party rilevare manomissioni ha avuto luogo e dovrebbe rifiutare il messaggio.
Quindi, in effetti, non si può non qualcuno dirottamento altro account utilizzando questo metodo a causa del processo di verifica della firma che è un built-in parte di OpenID.
Altri suggerimenti
No. Se fosse possibile, che sarebbe sconfiggere il punto.
Il sito che stai autenticazione con i colloqui direttamente con il provider di autenticazione, e il provider di autenticazione colloqui con l'utente. L'utente non può cambiare quello che va al sito, perché il provider di autenticazione non passa attraverso l'utente a raggiungere il sito.