Jaa


Microsoft och OpenID?

Fråga: Hur jobbar Microsoft med OpenID?

Svar: En av de saker som vi kontinuerligt jobbar med OpenID att lösa är OpenID's tydliga sårbarhet för phishing-attacker på grund av/med hjälp av screen-scraping. Ett scenario som inte är allt för svårt att tänka sig är en attackerande sajt som fångar din http-session och gör en redirect till en egen "screen-scraped" version av din OpenID-provider (många svengelska uttryck just nu) och ber dig sedan att mata in ditt lösenord vilket resulterar i den önskade attacken.

Därför hjälper vi bland annat ett flertal av de existerande OpenID-providers som finns att implementera stöd för CardSpace så att du som användare aldrig ska behöva mata in något lösenord, inte ens vid användning av ett OpenID.

Flera OpenID provider erbjuder redan autenticering med hjälp av CardSpace och en av de mest populära är MyOpenId.com.

Comments