Как работает уязвимость фишинговых атак в протоколе OpenID?

Уязвимость фишинговых атак в протоколе OpenID работает следующим образом: злоумышленники подделывают сайт, поддерживающий OpenID-авторизацию, с целью получения от провайдера информации о пользователе. ru.wikipedia.org

Используя уязвимость «скрытая переадресация», злоумышленники могут создать для пользователя иллюзию, что информация запрашивается настоящим сайтом. ru.wikipedia.org Затем авторизация и разрешение на доступ к профилю отправляются на неверный (фишинговый) сайт. www.kaspersky.ru В итоге злоумышленник получает ключ доступа к пользовательскому профилю, причём у него будут те же права, которые имеет оригинальное приложение или сервис, сайт которого был подделан. www.kaspersky.ru

OpenID не содержит механизмов предотвращения фишинговых атак. ru.wikipedia.org Ответственность за фишинговые атаки перекладывается на провайдеров OpenID. ru.wikipedia.org

Для защиты от фишинга пользователи могут использовать дополнительное программное обеспечение, например Microsoft’s Identity Selector. ru.wikipedia.org Также существуют решения, не требующие установки дополнительного программного обеспечения, например BeamAuth, использующий для своей работы закладки в браузере. ru.wikipedia.org