リダイレクトするのではなく、プロバイダが完全なルック&のログインページを制御するのではなく、iframeにOpenIDプロバイダのログインページをロードしたいという疑問がたくさんあります。非常に強固なセキュリティ上の理由(主にアンチフィッシング)の場合、これは大きなノー・ノーで禁止されており、ほとんどのOpenIDプロバイダはiframe内での読み込みを拒否します。iframeにOpenIDプロバイダをロードすると、プロバイダとRPが同じドメインにあると悪い考えですか?
私はOpenIDが単一の組織のWebサイトとアプリケーションのセット内で使用されている状況を提示されています。 OpenIDプロバイダには、RPのホワイトリストがあり、それらのRPにのみ応答します。 RPがユーザにそれを送信したことに基づいて、プロバイダのログインページを広範囲にカスタマイズしたいという要望がある。 (これに反対する強力なセキュリティ上の議論がある場合は、そのことについても知りたいと思います)。
これは、RPがログインページをiframeに表示できるようにするためのものです彼らは彼らが望むログインボックスの周りにどんなデザインを置くことができます。このシナリオでは、「Username」「Password」フィールドと「Login」「Forgot Password」「Register New Account」ボタンのみがプロバイダでホストされ、残りのページはRPにあり、RPのアドレスはタイトルバー。最適ではありませんが、引数は「別のサブドメインですが、同じ第2レベルのドメインなので、それでも問題はありません」
これはどういう場合か分かりません。さまざまなアプリケーションでログインページが非常に異なるため、ユーザーはフィッシングやその他の攻撃に対して脆弱です。私はこの結論で間違っていますか?私が直面している反論は、これらの懸念が同じドメインのサイトに限定された民間プロバイダには適用されないということです。
ありがとうございました。これは私が思っていたものとほとんど同じです。いくつかの確認を持って良いです。まだ答えのない古い質問にお答えいただきありがとうございます。本当にStackExchangeもリソースとして役立ちます。 – Ian