<div>I don't think that's entirely accurate.  Both versions are vulnerable to MITM due to DNS poisoning.  You mitigate that by using HTTPS.  V2 mitigates open redirectors via the realm discovery.  </div><div> </div>

<div>Hope this helps.<br clear="all">--<br>Andrew Arnott<br>"I [may] not agree with what you have to say, but I'll defend to the death your right to say it." - S. G. Tallentyre<br>
<br><br></div><div class="gmail_quote">On Thu, Mar 29, 2012 at 11:54 AM, Attila-Mihaly Balazs <span dir="ltr"><<a href="mailto:dify.ltd@gmail.com">dify.ltd@gmail.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">

Hello all!<br>
<br>
I'm a Python beginner, so don't shoot ;)<br>
<br>
>From the code it seems to me that the python-openid library supports<br>
both OpenID v1 and v2. Is there a way to force the consumer to only<br>
use v2? I'm asking this since I seem to recall that v1 of the spec was<br>
insecure (it allowed to be MITMd) and would like force my users to log<br>
in using only v2 providers.<br>
<br>
Best regards,<br>
Attila Balazs<br>
_______________________________________________<br>
Code mailing list<br>
<a href="mailto:Code@lists.openid.net">Code@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-code" target="_blank">http://lists.openid.net/mailman/listinfo/openid-code</a><br>
</blockquote></div><br>