我在Yahoo!中添加了openid登录谷歌在我的网站上。 没关系,工作正常。
当用户选择例如Yahoo!登录我的网站,他们也将登录他们的雅虎邮箱帐户。
我认为它不安全,因为他们可能没有注意到这个问题并且在他们的电子邮件帐户可用的情况下离开计算机。
您如何看待这个以及您对自己网站的解决方案是什么? 因为我注意到stackoverflow.com也是如此。
答案 0 :(得分:2)
当您使用yahoo登录OpenID时,将有2个会话,一个用于yahoo.com域,另一个是目标站点的会话(例如stackoverflow.com)。
使用来自目标站点(来自stackoverflow.com域)的会话,即使您的目标站点上的cookie暴露,攻击者也无法对您的主要雅虎帐户执行任何操作。
如果您担心自己的yahoo帐户,可以在使用stackoverflow.com进行身份验证后从yahoo.com域注销
注意:它不仅与雅虎,谷歌和其他人也有相同的机制,应该没问题。
答案 1 :(得分:1)
它通常是一个会话cookie,所以如果他们关闭浏览器就可以了,但是我得到了你的关注。我真的很想听听Yahoo!的内容!团队不得不自己说;如果没有人从Y!我在Yahoo OpenID Developer Forum找到了这个问题。