openid - StackOverflow のようなサイトは、認証されていない電子メールアドレスに基づいて分散型の方法でアカウントベースをリンクすることをどのように防止していますか?

翻译自：https://stackoverflow.com/questions/17304653 2013-06-25T18:17:02.153

108 次

0

OpenID プロトコルの電子メールアドレスが検証されていません。

以下のケースを考えてみましょう。

Gmail アカウントを使用して SO アカウントを作成します。メールアドレスは abc@gmail.com です。
現在、別の男が abc@gmail.com を使用している OpenID プロバイダーを偽造する方法を持っており、このプロバイダーを使用して SO にログインしています。
これで、SO はこれら 2 つのログイン方法をリンクし、その男は私の SO アカウントに完全にアクセスできるようになります。

では、実際には、上記のハッキングのリスクを最小限に抑えるにはどうすればよいでしょうか?

2 に答える 2