OpenID je lepa ideja, sa malo rupičastom implementacijom.
Ideja je:
- dođem na sajt A i dam moj OpenID URL (recimo
www.vesic.org)
- sajt A pročita mog OpenID provajdera iz URL-a (recimo myOpenID)
- A ode do myOpenID; iskoči myOpenID prozor i ja unesem uid/pwd
- myOpenID me autorizuje i potvrdi sajtu A da sam ja baš taj
To je ideja.
Međutim:
- dođem na zločesti sajt B i dam moj OpenID URL (recimo
www.vesic.org)
- sajt B pročita mog OpenID provajdera iz URL-a (recimo myOpenID)
- B izbaci prozor koji je isti prozor kao myOpenID i pokupi moje credentials
- B pozove regularno myOpenID; iskoči myOpenID prozor i ja unesem uid/pwd misleći da sam omašio prvi put
I tako zločesti sajt B ima moje credentials za myOpenID i za SVE sajtove koje koristim - ode na myOpenID, uloguje se i pogleda lepo sajtove na koje se logujem i iskoristi šta i kako mu se sviđa.
Inače, upravo i koristim
www.vesic.org /
https://www.myopenid.com čisto kao eksperiment za nekoliko sajtova ( BaseCamp i slične) :-)