<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;">Hi all,<br><br>There is a security weakness in OpenID which may be already<br>known but is not discussed in the security considerations<br>section of the specification.&nbsp; It hinges on the fact that<br>the OpenID provider does not authenticate the relying party.<br>I discuss the issue in detail in a <a href="http://www.pomcor.com/whitepapers/PKAuth.pdf">paper</a>.<br><br>OAuth solves this problem in theory by requiring the OAuth<br>client (the relying party) to register with the OAuth<br>server.&nbsp; But Google and Yahoo allow unregistered<br>applications, so the problem remains.&nbsp; Btw compulsory<br>registration is a bad idea: imagine a situation where<br>a social site becomes dominant, social login via that site<br>becomes the de facto authentication standard on the Web,<br>every application has to register with the site, and the<br>site can kill any
 application by revoking its registration.<br><br>The <a href="http://www.pomcor.com/whitepapers/PKAuth.pdf">paper</a> proposes a solution to all this.&nbsp; Thanks in<br>advance for any comments.<br><br>-- Francisco<br><br></td></tr></table>