Google/Yahoo의 헤더 수익을 해킹하는 것이 가능합니다! 인증 openid 요청? 누군가 [email protected]을 사용하여 Google에서 인증을 받고 Google의 응답으로 [email protected]을 [email protected]으로 변경하고 내 계정으로 사이트에 로그인 한 것입니다.Google/Yahoo! openID 프로세스에서 변경 될 수 있습니까?
예, 공급자로부터 신뢰 당사자까지의 인증 페이로드는 사용자의 브라우저를 거치며 사용자가 의존 당사자 웹 사이트로 전달되는 내용을 검사하고 심지어 변경할 수 있습니다.
페이로드가 서명되었으므로 메시지의 서명 된 부분을 변경하면 신뢰 당사자는 변조가 감지되어 메시지를 거부해야합니다.
사실, 아니요, OpenID의 내장 부분 인 서명 확인 프로세스로 인해이 방법을 사용하여 다른 사람의 계정을 도용 할 수 없습니다.
아니요 가능한 경우 그 점을 무시합니다.
인증 공급자는 인증 공급자와 직접 대화하고 인증 공급자는 사용자와 대화합니다. 인증 공급자는 사이트를 방문하기 위해 사용자를 거치지 않기 때문에 사용자는 사이트로 이동할 내용을 변경할 수 없습니다.
일부 스니퍼 소프트웨어 및 TCP 패킷 내용이 변경됨을 의미합니다. –
그건 어떻게 작동하지 않습니다. – Amber