"OpenID: Single Sign-On for the Internet" を読んだ (3) - 日向夏特殊応援部隊Relying Party to Identity Provider redirect 悪意ある RP が discovery を偽って、ユーザーの入力した User-supplied Identifier から判別する OP EndPoint URL にはリダイレクトせずにそっくりなフィッシングサイトに行く可能性があるよねって話。 対策 色々考えられるけど、やっぱりブラウザ側で対応するのが一番良い気がする openid_identifier or openid_url と言う name属性を持つフォームの要素がページに存在するならばそのページは OpenID 対応と見なす そうじゃないなら OpenID 対応と見なさず、そもそも OpenID の Identifier を入れる事をお勧めしない ブラウザの機能として実際に入力された identifier を RP に送信する前にフックかけ
