自分用のメモです。 アカウントの自動収集 OpenIDの場合はIdentifierがURLなので、ユーザー名の収集は例えばGoogle検索などで行える。 http://www.google.co.jp/search?q=allintitle%3AIdentity+Page+for 例えばこういう感じですね。他のOpenID ProviderのユーザーのIdentifierページも規則性も見出そうと思えば出来るはず。 こうして集めたIDに対して実際に辞書アタックなど掛ける事が出来る。 少なくともユーザー名とパスワードでログインが行われる仕組みの場合だとユーザー名が日の目に晒されている状況は余りよろしくない。 対策としては、当たり前な事もあるけど、 JOE*1アカウントを許可しない ブルートフォースアタックの対策としてCAPTCHAを使用する ユーザのIdentifier URLに対するインデ