<div>OpenID 2.0 RPs that allow unsolicited assertions (which Just Works by default for proper OpenID implementations, it seems to me) seem to be vulnerable to an attack.  Can anyone confirm or deny what I'm imagining here? It seems a security advisory <em>may</em> be appropriate.</div>

<div> </div><div>The attack:</div><ol><li>Victim navigates the browser to the attacker's web site.</li><li>The web site hosts a hidden iframe that redirects to a popular RP the user is suspected to have an account with, carrying an unsolicited assertion to the attacker's identity.</li>

<li>The victim them navigates to the RP that previously received the hidden, unsolicited assertion.</li><li>The victim, unaware of the authentication, assumes that he/she is logged into their own account, and uses the RP under that assumption. They may upload files or transmit other data.</li>

<li>The attacker, who controls the account the victim is logged into, gains access to that transmitted data.</li></ol><div>Mitigations:</div><ol><li>Disable unsolicited assertions (perhaps by only accepting assertions with a return_to that includes a signed nonce from the RP).</li>

<li>Accepted unsolicited assertions, but only after frame busting code has confirmed with the user that they intended to log in as [attacker].</li></ol><div>What are your thoughts on this?</div><div><br clear="all">--<br>

Andrew Arnott<br>"I [may] not agree with what you have to say, but I'll defend to the death your right to say it." - S. G. Tallentyre<br>
</div>