Hi. <div><br></div><div>I was tweeting with a friend of mine in Japanese about attacker disguising to be just requesting authentication and a bit more and in fact getting fairly large access privilege. </div><div><br></div>
<div>For example, let the client request scope=openid%20readwirte saying that "Please login by clicking this button" or login icon. </div><div>The use is redirected to the client and presses OK without reading about what you are about to give up. </div>
<div>He is just thinking that it is authentication - not a big deal, and only at a later date that something is massively wrong. </div><div><br></div><div>What can we do to mitigate this problem? </div><div> <br clear="all">
<br>-- <br>Nat Sakimura (=nat)<br><a href="http://www.sakimura.org/en/">http://www.sakimura.org/en/</a><br><a href="http://twitter.com/_nat_en">http://twitter.com/_nat_en</a><br>
</div>