OpenID现有风险-CISSP

Question

所有人！我正在学习CISSP，我有一个问题，我不明白为什么。

问题是：

允许OpenlD依赖方控制到OpenlD提供程序的连接会产生什么危险？

我的答案是：

依赖方可能能够窃取客户端的usename和密码。

我认为userID和密码必须发送给openID提供者，这样如果依赖方能够控制提供者，那么依赖方就可以得到。但真正的答案是：

它通过向假的OpenlD提供商发送数据，创造了网络钓鱼攻击的可能性。

我不明白钓鱼和窃取密码有什么区别，为什么要选择钓鱼。

有人能给我一些建议吗？谢谢!

最后，我的英语很差，请原谅我。

Answer 1

学习CISSP考试的“语言”有时比内化材料更难！

我的理解(最近通过了CISSP考试的人)是，“钓鱼”是通过某种欺骗或欺骗行为的攻击来定义的。因此，在这种情况下，我想说，在阅读这个问题时，重点在于它的提问方式。

我承认这不是一个措辞很好的问题。不过，我要说的一点是，专注于“允许OpenID依赖方控制连接”的暗示是由负责代理这种连接的人自愿做的，这让人相信网络钓鱼的答案比你提供的答案“更正确”。