Authlogic, выход из системы, учет учетных данных и безопасность

Question

Хорошо, это что-то странное. Сегодня у меня установлено приложение authlogic-oid. Все работает отлично, но для одной маленькой неприятности.

Это то, что я сделал:

Я сначала зарегистрироваться с моим Google Вконтакте. Успешный логин, перенаправление и моя электронная почта вместе с моим правильным openid хранятся в моей базе данных. Я рад, что все работает нормально!

Теперь, когда я выхожу из системы, мое приложение rails как обычно разрушает сеанс и перенаправляет меня обратно на мой корневой URL-адрес, где я могу снова войти в систему. Теперь, если я попытаюсь войти в систему, он все еще помнит мой последний идентификатор входа. Не большая проблема, так как я всегда могу «Войти как другой пользователь», но мне интересно, есть ли в любом случае не только выход из моего приложения, но и выход из Google.

Я заметил то же самое, что и система проверки подлинности с переполнением стека.

Почему я так беспокоюсь об этом, вы можете спросить. Но не плохо ли, если ваш веб-приложение, конечный пользователь, находящийся в кибер-кафе, думает, что он вышел из вашего приложения и, следовательно, из своей учетной записи google, чтобы позже понять, что его учетная запись google была взломана некоторыми недостойный неудачник, который только что заметил, что тот, который до него не выходил из Google, не сказал ... изменил пароль!

Должен ли я быть параноиком? Разве это не серьезный провал безопасности при реализации спецификации openid? Вероятно, сегодня кто-то может дать мне обходной путь для этой проблемы, и вопрос решен для меня. Но как насчет других, которые внедрили openid в своих приложениях и не реализовали обходной путь?

Answer 1

Если это такая большая проблема, не используйте OpenID или не вывешивайте всплывающее окно DHTML после успешного выхода из системы, напомнив пользователям, что их сеанс по-прежнему действует на их поставщике OpenID.

Что касается OpenID Google, что вы, вероятно, можете сделать перенаправление пользователей через следующий URL после

http://www.google.com/accounts/ClearSID?continue=http%3A%2F%2Fwww.google.com%2Faccounts%2FLogout%3Fcontinue%3Dhttp%3A%2F%2Fwww.google.com%2F

Answer 2

Afaik, вы не можете зарегистрировать пользователя вне учетной записи в другой системе. Предполагается, что ваше приложение будет отвечать только за собственный бизнес. Будучи пользователем, я был бы очень удивлен, если бы сайт с использованием openid мог вывести меня из моей учетной записи google.

Да, существует сценарий, согласно которому пользователь может предположить, что они вышли из системы Google, поскольку они вышли на ваш сайт, но это будет (и должно) быть их собственной ошибкой.