>後出しジャンケンくさいですが、
>たださんの指摘する
> OpenID はけっこう中間者攻撃に弱いということは、あとで僕も気付きました。
>
>偽装の方法としては、任意のURLでサービス提供者にアクセスし、そのURLへのパケットの流れを捉えればいいわけで、むしろやりやすいのかもしれないという気がしますね。
>
>ただまあ、それを言うなら従来の TypeKey 対応サービスだって同種の問題を抱えているのは同じで、けっきょくその辺はホスト間の SSL/TLS を使えというしかないのかな。そういうことをやる仕様になってるのかどうかは(読んでないので)知りませんが。
>
>そういうわけで、個人的な情報を OpenID と結びつけるというよりは、あるサービスに継続的に同じひとがアクセスしているということが知りたいためにユーザ認証が必要なんだけどいちいち取得するのが面倒、という場合が有用なのであって、だから SBS であるとか、ブログの認証とか、wikiのユーザ認証とかには良いんじゃないかと思いますけどね。
>
