是否可以破解来自 Google/Yahoo 的标头返回!身份验证openid请求?我的意思是有人使用 him@gmail.com 通过 Google 进行身份验证,然后将 him@gmail.com 更改为 me@gmail.com 以响应 Google 并使用我的帐户登录网站?
问问题
95 次
2 回答
3
是的,从提供者到依赖方的身份验证有效负载通过用户的浏览器,使用户有机会检查甚至更改转发到依赖方网站的内容。
然而,有效负载是签名的,因此对消息签名部分的任何更改都将导致依赖方检测到篡改已经发生,并且应该拒绝该消息。
所以实际上,不,您不能使用此方法劫持其他人的帐户,因为签名验证过程是 OpenID 的内置部分。
于 2010-04-28T17:56:48.173 回答
1
不,如果可能的话,那将失去意义。
您进行身份验证的站点直接与身份验证提供者对话,而身份验证提供者与用户对话。用户无法更改访问站点的内容,因为身份验证提供程序不会通过用户访问站点。
于 2010-04-27T09:45:24.780 回答