Учетная запись Yahoo остается открытой после использования openID для входа в систему. Почему?

Question

я добавил openid логин с Yahoo! и гугл на моем сайте. это нормально и работает нормально.

когда пользователи выбирают, например, Yahoo! чтобы зайти на мой сайт, они также войдут в свою учетную запись Yahoo.

Я думаю, что это небезопасно, потому что, возможно, они не обращают внимания на эту проблему и оставляют компьютер, пока доступна их учетная запись электронной почты.

что вы думаете об этом и каково ваше решение для ваших собственных сайтов? как я заметил, такая же история для stackoverflow.com.

Answer 1

Когда вы входите в OpenID с Yahoo, будет 2 сессии, одна для домена yahoo.com, а другая для целевого сайта (например, stackoverflow.com).

Во время сеанса с целевого сайта (из домена stackoverflow.com) злоумышленник не может ничего сделать с вашей основной учетной записью Yahoo, даже если ваши файлы cookie на целевом сайте раскрыты.

Если вы беспокоитесь о своей учетной записи Yahoo, вы можете выйти из домена yahoo.com после того, как вы прошли аутентификацию на stackoverflow.com

Примечание : с этим не только Yahoo, Google и другие, но и те же механизмы, с этим проблем быть не должно.

Answer 2

Обычно это сессионный cookie, поэтому, если они закроют браузер, у них все будет хорошо, но я вас заинтересовал. Мне на самом деле было бы любопытно услышать, что такое Yahoo! команда должна сказать об этом сами; если никто из Y! находит этот вопрос, который я хотел бы задать на форуме разработчиков OpenID Yahoo .