Скажем, если вы используете OpenID Selector, который является системой входа в систему Stock Overflow, или JanRain, который фактически позволяет использовать Facebook или Twitter для входа в систему, а также OpenID, то некоторые адреса электронной почты не проверяются.
На исходном веб-сайте, если адреса электронной почты не подтверждены, возможно, мы можем объединить две учетные записи (рассматривать их как одного пользователя), если OpenID или JanRain регистрируют пользователя с проверенным адресом электронной почты, и наши текущие учетные записи пользователей также имеютпользователь с таким адресом электронной почты (но не проверенный) - реальный пользователь может теперь взять контроль над учетной записью.
Но что, если хакер зарегистрирует адрес электронной почты знаменитости, а затем подождет несколько месяцев, пока знаменитость использует OpenID или Facebook с проверенным адресом электронной почты, чтобы «объединить» две учетные записи.
(Веб-сайт может объявить, что учетные записи объединены, но знаменитость может не помнить, зарегистрировался ли он или она ранее на этом веб-сайте. Поэтому он или она могут не чувствовать нарушения безопасности).Итак, риск безопасности есть.Теперь, что бы ни делала знаменитость - сохраняя элементы в списке и т. Д., Хакер теперь может молча следить за тем, что делается.
Так что, если у какой-либо учетной записи есть непроверенный адрес электронной почты, никакой другой учетной записислиться с этим.Только если обе учетные записи имеют один и тот же подтвержденный адрес электронной почты, эти учетные записи могут рассматриваться как одна учетная запись.
Это правда или правило может быть более гибким, чем это?