может ответ от гугл / Yahoo! измениться в процессе openID?

Question

возможно ли взломать возврат заголовка от Google / Yahoo!запрос аутентификации openid?я имею в виду кого-то, кто использует him@gmail.com для аутентификации в Google, а затем в ответ от Google меняет him@gmail.com на me@gmail.com и входит на сайт с моей учетной записью?

Answer 1

Да, полезная нагрузка аутентификации от поставщика к проверяющей стороне проходит через браузер пользователя, давая пользователю возможность проверять и даже изменять то, что перенаправляется на веб-сайт проверяющей стороны.

Однако полезная нагрузка подписана, поэтому любые изменения в подписанной части сообщения приведут к тому, что проверяющая сторона обнаружит вмешательство, и должны отклонить сообщение.

Таким образом, по сути, нет, вы не можете захватить чужую учетную запись с помощью этого метода из-за процесса проверки подписи, который является встроенной частью OpenID.

Answer 2

Нет. Если бы это было возможно, это победило бы.

Сайт, с которым вы аутентифицируетесь, общается напрямую с провайдером аутентификации, а провайдер аутентификации общается с пользователем. Пользователь не может изменить то, что идет на сайт, потому что поставщик аутентификации не проходит через пользователя, чтобы попасть на сайт.