Google /Yahoo!からのヘッダーリターンをハックすることは可能ですか?認証openidリクエスト?つまり、誰かがhim@gmail.comを使用してGoogleで認証され、Googleからの応答としてhim@gmail.comをme@gmail.comに変更して、私のアカウントでサイトにログインするということですか?
2 に答える
3
はい、プロバイダーから証明書利用者への認証ペイロードはユーザーのブラウザーを通過するため、ユーザーは証明書利用者の Web サイトに転送される内容を検査したり、変更したりすることができます。
ただし、ペイロードは署名されているため、メッセージの署名部分が変更されると、証明書利用者は改ざんが行われたことを検出し、メッセージを拒否する必要があります。
つまり、OpenID の組み込み部分である署名検証プロセスにより、この方法を使用して他人のアカウントをハイジャックすることはできません。
于 2010-04-28T17:56:48.173 に答える
1
いいえ。可能であれば、それはポイントを打ち負かします。
認証しているサイトは認証プロバイダーと直接対話し、認証プロバイダーはユーザーと対話します。認証プロバイダーはユーザーを介してサイトにアクセスしないため、ユーザーはサイトにアクセスする内容を変更できません。
于 2010-04-27T09:45:24.780 に答える