É OpenID a vida não anda fácil para você. Se a algum tempo atrás descobriram uma falha em você agora vem outro jovem mancebo e resolve te profanar novamente ?
Que coisa feia OpenID. Nem bem nos recuperamos do Heartbleed, aquela falha sem coração que afetou o coitado o OpenSSL e já vem de novo você deixando nossos logins expostos. Ah OpenID , por meio de você gigantes como o Faceboook, Microsoft e Google se tornam donas Armênias virtuais deixando nossos dados expostos para qualquer meliante chato curioso.
Este bug chato foi encontrado por um estudante de doutorado da Nanyang Technological University em Cingapura. Este jovem mancebo chamou esta forma de lhe manipular OpenID de "Covert Redirect" que permite ao moço dirfarçar a ameaça como um popup de login que lembra em muito o site afetado ( não OpenID, o site não está afetado como você, ele foi afetado por você, viu ? ).
Viu que imagem bonita acima OpenID ? Você não cuida da saúde e dá nisto. O site CNET que conhece bem esta sua vida pregressa já nos deu algumas dicas de como você pode ser manipulado. Um link malicioso pode gerar uma janela popup do Facebook, pedindo autorização para um aplicativo. Assim não é nem necessário usar um domínio falso para enganar a vítima, porque dá para usar o site real como autenticação.
Assim que o usuário autoriza o login, suas informações pessoais são enviadas diretamente para o cibercriminoso , em vez do site legítimo. Isso pode incluir endereços, data de nascimento, listas de contatos e possivelmente, sr. OpenID, você pode dar controle total da conta a este meliante.
Para os usuários que querem se livrar desta furada do OpenID as dicas são as de sempre: evitar clicar em links suspeitos que pedem a realização de um login imediatado do Google ou Facebook. Caso clique num link destes, e não fizer o login, ele estará seguro.
Ou seja, a vida não está fácil para ninguém. Nem para o OpenSSL, nem para o OpenID.
Mais difícil ainda para quem tem o famoso toque de não poder ver um link sem ser clicado.
Fontes: CNET / Olhar Digital