On Mon, Dec 15, 2008 at 7:49 PM, Steven Livingstone-Perez <span dir="ltr">&lt;<a href="mailto:weblivz@hotmail.com">weblivz@hotmail.com</a>&gt;</span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">









<div link="blue" vlink="purple" lang="EN-US">

<div>

<p>I am seriously seriously missing something here? I love the
UX on FB Connect but all I see are potential security holes.</p>



<p>IMHO OpenID should be build *<b>into</b>* the browsers if we
want to get this kind of inline authentication mechanism.</p>

<p></p></div></div></blockquote><div><br>+1, and then some.&nbsp; Popup windows asking for a password are very easy to phish, both when the user doesn&#39;t click into the address bar to see that the covered up URL isn&#39;t actually Facebook&#39;s (or whomever&#39;s site), and when the user doesn&#39;t click into the URL bar to notice that it&#39;s not actually a Facebook browser popup, but is instead a popup with an image that looks like a URL bar from Facebook, but is actually a popup window from some other site that&#39;s trying to steal your password.<br>
<br>I like MyOpenId&#39;s client cert login method -- I don&#39;t ever have to enter a password anymore, so I don&#39;t worry about it.&nbsp; That combined with sxipper, and I feel pretty good about most of my logins nowadays.<br>
<br></div></div><br>