说,如果使用OpenID Selector是Stock Overflow的登录系统,或者JanRain,实际上允许使用Facebook或Twitter登录以及OpenID,那么某些电子邮件地址不会被验证。是否可以使用已验证电子邮件地址的任何帐户与未验证电子邮件地址的帐户合并?
在原始网站,如果电子邮件地址未经过验证,也许我们可以合并两个帐户(把它们作为一个用户),如果 的OpenID或JanRain日志与被验证的电子邮件地址的用户,我们目前的用户帐户也有一个用户,该用户的电子邮件地址为 (但未验证) - 真正的用户现在可以控制该帐户。但是,如果黑客注册名人的 电子邮件地址,然后等待几个月,直到名人使用OpenID或带有验证电子邮件地址的Facebook来“合并”两个帐户。
(网站可以公布账号被合并,但名人可能不记得他或她以前是否在该网站注册过,所以他或她可能不会感到安全漏洞)。所以,安全风险是。 现在,无论名人如何 - 将项目保存到列表中等,黑客现在可以静静地监视正在做什么。
因此,如果任何帐户有未经验证的电子邮件地址,则其他帐户不应与其合并。只有当这两个帐户 具有相同的验证电子邮件地址,那么这些帐户才可以被视为一个单一帐户。
这是真的,还是规则会比这更灵活?