我添加了使用 Yahoo! 的 openid 登录 和谷歌在我的网站。没关系,工作正常。
例如,当用户选择 Yahoo! 要登录我的网站,他们也将登录他们的雅虎邮件帐户。
我认为这不安全,因为他们可能没有注意到这个问题并在他们的电子邮件帐户可用时离开计算机。
您对此有何看法以及您自己网站的解决方案是什么?我注意到同样的故事适用于 stackoverflow.com。
2 回答
2
当您使用 yahoo 登录 OpenID 时,将有 2 个会话,一个用于 yahoo.com 域,另一个用于目标站点(例如 stackoverflow.com)。
通过来自目标站点的会话(来自 stackoverflow.com 域),即使您在目标站点上的 cookie 暴露,攻击者也无法在您的主 yahoo 帐户上执行任何操作。
如果您担心您的 yahoo 帐户,您可以在通过 stackoverflow.com 进行身份验证后从 yahoo.com 域注销
注意:它不仅与雅虎,谷歌和其他人也相同的机制,应该没有问题。
于 2010-04-27T08:16:42.943 回答
1
它通常是一个会话 cookie,所以如果他们关闭浏览器就可以了,但我得到了你的关注。我实际上很想知道 Yahoo! 团队必须自己谈论这件事;如果 Y 没有人!发现我会在Yahoo OpenID Developer Forum上提出的这个问题。
于 2010-05-02T18:51:27.133 回答