Может ли ответ от Google / Yahoo! быть измененным в OpenID-процессе?
-
01-10-2019 - |
Вопрос
Можно ли взломать заголовок возвращения от Google / Yahoo! Запрос OpenID аутентификации? Я имею в виду кого-то, кого-то использует yek@gmail.com, чтобы получить аутентификацию с Google, а затем меняет его@gmail.com для me@gmail.com в ответ от Google и войти на сайт с моей учетной записью?
Решение
Да, полезная нагрузка на аутентификацию от провайдера на опору Party проходит через браузер пользователя, предоставляя пользователю возможность проверять и даже изменить то, что передается на веб-сайт полагающейся сторон.
Однако Полезная нагрузка подписывается, поэтому любые изменения в подписанной части сообщения приведут к тому, что полагается подделка для обнаружения полагающей стороны, и должно отклонить сообщение.
Таким образом, нет, нет, вы не можете угонять чужой учетную запись, используя этот метод из-за процесса проверки подписи, который является встроенной частью OpenID.
Другие советы
Нет. Если это возможно, это победило точку.
Сайт вы аутентифицируетесь с переговорами непосредственно с провайдером аутентификации, и провайдеры аутентификации разговаривают с пользователем. Пользователь не может изменить то, что идет на сайт, потому что поставщик авторизации не проходит через пользователь, чтобы добраться до сайта.