Azure ACS - URL-адрес утверждений в истории браузера - дыра в безопасности?

Question

Нашел эту официальную демонстрацию ACS http://www.fabrikamshipping.com/ во время исследования ACS.
В самом приложении при входе в систему с одним из провайдеров (я выбрал Google) я вижу в истории браузера URL-адрескоторый содержит претензии, возвращенные из ACS.Это URL, начинающийся с:

https://fabrikamshipping.accesscontrol.windows.net/v2/openid?context=pr%3dwsfederation%26rm%3dhttp%253a%252f%252ffabrikamshipping%252fcons...

При переходе по этому URL я регистрируюсь в приложении даже после очистки всего кэша браузера и файлов cookie .
Поэтому, если я войду в приложение с какого-либо общедоступного компьютера, а затем выйду из системы, моя учетная запись будет открыта, если перейти по этому URL в истории браузера.

Я знаю, что это стандартный способ работы с идентификацией ACS.
Что мне здесь не хватает?

Answer 1

Вы не пропали. Этот URL будет входить в систему, даже если все куки очищены. Однако, когда вы заходите на общедоступный компьютер, вы должны быть более внимательны к своим учетным данным. Очистка истории удалит этот URL из истории браузеров.

Кроме того, я не вижу URL претензий в своей истории.

Еще один способ защитить ваши личные данные - использовать " В сеансе частного просмотра " для браузера по вашему выбору. Обратите внимание, что это очень трудно для кого-то увидеть, не говоря уже о запоминании этого URL. Вы получили это, потому что вы скопировали из браузера в момент перенаправления.

Answer 2

Я открыл ту же ветку на официальных форумах Azure:

http://social.msdn.microsoft.com/Forums/en-US/windowsazuresecurity/thread/8f35d6d7-fe0d-4589-9502-54c85714979a

Это похоже на известную проблему.Я обновлю ответ здесь, как только будет предоставлено решение.