Yahoo! で openid ログインを追加しました。私のサイトのGoogle。それは問題なく、正常に動作します。
ユーザーがたとえば Yahoo! 私のサイトにログインするには、yahoo メール アカウントにもログインします。
おそらく、彼らはこの問題に気付かず、電子メール アカウントが使用可能な状態でコンピュータを離れるので、安全ではないと思います。
これについてどう思いますか? また、ご自身のサイトでの解決策は何ですか? 同じ話がstackoverflow.comにあることに気づきました。
yahoo で OpenID にログインすると、2 つのセッションが存在します。1 つは yahoo.com ドメイン用で、もう 1 つはターゲット サイト (たとえば、stackoverflow.com) 用のセッションです。
ターゲット サイト (stackoverflow.com ドメイン) からのセッションでは、ターゲット サイトの Cookie が公開されていても、攻撃者はメインの yahoo アカウントで何もできません。
yahoo アカウントが心配な場合は、stackoverflow.com で認証された後に yahoo.com ドメインからログアウトできます。
注: yahoo だけでなく、google なども同じ仕組みで問題ありません。
通常はセッション クッキーなので、ブラウザを閉じれば問題ありませんが、ご心配をおかけしました。実際、Yahoo! チームはこれについて自分で言わなければなりません。Yから誰もいなければ!Yahoo OpenID Developer Forumで私が尋ねたいこの質問を見つけました。