比如说,如果使用的是 Stock Overflow 的登录系统 OpenID Selector,或者实际上允许使用 Facebook 或 Twitter 以及 OpenID 登录的 JanRain,则某些电子邮件地址没有经过验证。
在原网站上,如果一个邮箱地址没有经过验证,如果OpenID或者JanRain用一个邮箱地址验证过的用户登录,我们现在的用户账号也有一个具有该电子邮件地址的用户(但未经验证)——真正的用户现在可以控制该帐户。
但是,如果黑客注册了名人的电子邮件地址,然后等待几个月,直到名人使用 OpenID 或 Facebook 和经过验证的电子邮件地址来“合并”这两个帐户。
(网站可以宣布账户合并,但名人可能不记得他或她之前是否在该网站上注册过,因此他或她可能不会感到安全漏洞)。所以,安全风险是。现在无论名人做什么——将项目保存到列表等,黑客现在都可以默默地监控正在做的事情。
如果任何帐户有一个未经验证的电子邮件地址,其他帐户都不应该与它合并,这是真的吗?仅当两个帐户具有相同的经过验证的电子邮件地址时,这些帐户才能被视为一个帐户。
这是真的,还是规则可以比这更灵活?