Учетная запись Yahoo остается открытой после использования OpenID для входа. Почему?

Question

Я добавил OpenID вход с Yahoo! И гугл на моем сайте. Это нормально и работает нормально.

Когда пользователи выбирают, например, Yahoo! Чтобы войти на мой сайт, они будут войти в свою учетную запись Yahoo Mail.

Я думаю, что это не безопасно, потому что, возможно, они не замечают этому вопросу и оставьте компьютер, пока их учетная запись электронной почты доступна.

Что вы думаете об этом и каково ваше решение для ваших собственных сайтов? Как я заметил, одна и та же история для stackoverflow.com.

Answer 1

Обычно это сеанс cookie, поэтому, если они закроют браузер, они будут в порядке, но я понимаю вашу заботу. Мне действительно было любопытно услышать, что Yahoo! Команда должна сказать об этом сами; Если никто из у! Находит этот вопрос, я бы спросил в Yahoo Openid Developer Forum.

Answer 2

Когда вы войти в OpenID с Yahoo, там будут 2 сеанса, один для домена Yahoo.com и другой - это сеанс для целевого сайта (например, stackoverflow.com).

С сеансом от целевого сайта (от домена StackoVerFlow.com) злоумышленник не может ничего делать на главной учетной записи Yahoo, даже если ваши куки на целевом сайте выставлены.

Если вы беспокоитесь о вашей учетной записи Yahoo, вы можете выйти из домена Yahoo.com после того, как вы были аутентифицированы с StackoverFlow.com

Примечание: Это не только с Yahoo, Google и другими и другими и такими же мачанизмами, не должно быть проблем с этим.