Google/Yahooからの応答はできますか！ OpenIDプロセスで変更されますか？

Question

Google/Yahooからヘッダーリターンをハッキングすることは可能ですか？認証OpenIDリクエスト？誰かが彼と@gmail.comを使用してGoogleで認証され、Googleからの応答で@gmail.comに変更し、私のアカウントでサイトにログインしますか？

Answer 1

はい、プロバイダーから頼りになるパーティーへの認証ペイロードは、ユーザーのブラウザを通過し、ユーザーに頼るパーティーのWebサイトに転送されるものを検査し、変更する機会を与えます。

でも ペイロードが署名されているため、メッセージの署名された部分を変更すると、依存する当事者が改ざんの検出が行われ、メッセージが拒否されるはずです。

したがって、実際には、OpenIDの組み込みの一部である署名検証プロセスのため、この方法を使用して他の誰かのアカウントをハイジャックすることはできません。

Answer 2

いいえ。可能であれば、それはポイントを打ち負かすでしょう。

あなたが認証プロバイダーと直接話し合い、認証プロバイダーがユーザーと話し合うサイト。 AUTHプロバイダーはユーザーを通過してサイトにアクセスしないため、ユーザーはサイトに行くものを変更できません。