<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Eddy Nigg (StartCom Ltd.) wrote:
<blockquote cite="mid:49C6DAD9.6000608@startcom.org" type="cite">
  <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  <br>
Your assumptions that users will notice the difference between a window
with and without address bar are basically wrong. A small research
would tell you that most users will enter their details anyway.<br>
  <br>
</blockquote>
Does the popup make things worse for users who don't pay attention to
the address bar or to any visual indicators?<br>
<blockquote cite="mid:49C6DAD9.6000608@startcom.org" type="cite">Which
leads us again to the issue of user/pass pairs and their
usefulness </blockquote>
OpenID does not specify how the user authenticates with their OP, so
OPs are free to deploy authentication methods other than passwords.<br>
<br>
<blockquote cite="mid:49C6DAD9.6000608@startcom.org" type="cite">.
However a full page might protect some users still protect
better than a small pop-up...</blockquote>
As far as I can tell, all phishing sites currently use a full browser
window, so I'm not sure how the full browser window is more resistant
to phishing compared to a popup.<br>
<br>
Allen<br>
<br>
</body>
</html>