OpenID安全-伪造的OpenID重定向

Question

我正在尝试弄清楚，一个接受OpenID登录的网站怎么不会被一个简单的主机文件更新攻击，指向一个虚假的OpenID提供商。

例如，假设我想黑进Joe Smith的帐户，在本例中，假设他的OpenID提供商是http://jsmith.myopenid.com。是什么阻止我在主机文件中创建条目，并将jsmith.myopenid.com指向我控制的IP。然后，我将伪造身份验证并返回一个响应，说明用户已成功登录。

我知道浏览器中会出现SSL不匹配的警告，但是因为它是我的浏览器，所以我可以很容易地忽略它。发出请求的网站如何知道它收到的响应实际上来自被请求的站点？

这看起来像是一个基本的攻击，我相信背后的人已经包含了一个解决方案，我只是不能搜索正确的术语来找到答案。

Answer 1

依赖方在身份验证之前(建立用于将OpenID提供程序的响应放入OpenID提供程序的共享密钥)或身份验证之后(要求它确认响应是否确实来自OpenID提供程序)，直接与HMAC提供程序联系。

要使攻击起作用，您还需要能够控制依赖方的DNS查找，而不仅仅是您自己的DNS查找。