Cuando alguien pone en una identificación abierta en su sitio, es autenticar al usuario pidiéndole al sitio donde OpenID del usuario vive (y sólo ese sitio) si este usuario está bien. AOL no puede validar un Yahoo OpenID, por ejemplo.
Si el usuario no está autenticado en ese sitio, la autenticación falla y hay que redirigir a la página de inicio de sesión de ese sitio. Aún es necesario que se realice una autenticación real, pero siempre ocurre con el proveedor de OpenID para ese usuario. Como usuario, está protegido porque solo debería ver la página de inicio de sesión con la que está familiarizado. Un sitio malicioso tendrá dificultades para desviar las credenciales de OpenID, ya que los usuarios nunca les dan a esos sitios sus contraseñas directamente.
Una vez que el usuario se autentica con su proveedor (o si lo son desde el primer momento), el proveedor informar de esto a su sitio web. Lo que cambia para OpenID es que su sitio ahora necesita confiar en otros sitios, que informará con precisión el estado de sus usuarios.
Alguien podría configurar un proveedor de Identificación abierta "malicioso", y tratar de quitar la grasa nuevos identificadores de esa manera, pero eso es entre un usuario y el proveedor. Dado que esta autenticación tiene que ver con la reputación, la idea es que dicho proveedor no permanezca en el negocio por mucho tiempo. Si nada más, los sitios pueden poner en una lista negra a esos proveedores. Un proveedor malicioso no podría suplantar identificadores abiertos que están registrados con otros proveedores.
Otra posibilidad para un proveedor malicioso es configurar un servicio OpenID que simplemente siempre confirma cualquier identificación que se le transfiera para la autenticación (o le permite a un administrador configurar una puerta trasera para sus usuarios). Sin embargo, eso solo afectaría a los usuarios que se registraron con ese proveedor. Una vez más, los sitios podrían poner en una lista negra a estos proveedores, y como se apoyan en la reputación, la idea de que no permanecería en el negocio todavía se mantiene.
¿Qué daño hay al dejar suelto su OpenID? Todavía necesita verificar su identidad en el proveedor de OpenID antes de que se pueda hacer daño. –
Probablemente debas editar título o texto. Entiendo el titular que pregunta por los peligros de usar OpenID como desarrollador (como SO), pero el texto trata sobre los riesgos desde la perspectiva del usuario. – phihag
¿Cuál es tu pregunta? Los URI de OpenID son públicos. El mío es http://www.aaronhockley.com: no hay nada que criticar. La autenticación del proveedor de OpenID, no la parte confiable. – ahockley