0
說,如果使用OpenID Selector是Stock Overflow的登錄系統,或者JanRain,實際上允許使用Facebook或Twitter登錄以及OpenID,那麼某些電子郵件地址不會被驗證。是否可以使用已驗證電子郵件地址的任何帳戶與未驗證電子郵件地址的帳戶合併?
在原始網站,如果電子郵件地址未經過驗證,也許我們可以合併兩個帳戶(把它們作爲一個用戶),如果 的OpenID或JanRain日誌與被驗證的電子郵件地址的用戶,我們目前的用戶帳戶也有一個用戶,該用戶的電子郵件地址爲 (但未驗證) - 真正的用戶現在可以控制該帳戶。但是,如果黑客註冊名人的 電子郵件地址,然後等待幾個月,直到名人使用OpenID或帶有驗證電子郵件地址的Facebook來「合併」兩個帳戶。
(網站可以公佈賬號被合併,但名人可能不記得他或她以前是否在該網站註冊過,所以他或她可能不會感到安全漏洞)。所以,安全風險是。 現在,無論名人如何 - 將項目保存到列表中等,黑客現在可以靜靜地監視正在做什麼。
因此,如果任何帳戶有未經驗證的電子郵件地址,則其他帳戶不應與其合併。只有當這兩個帳戶 具有相同的驗證電子郵件地址,那麼這些帳戶纔可以被視爲一個單一帳戶。
這是真的,還是規則會比這更靈活?