Session 雅虎帐户在使用openID登录后仍保持开放状态。为什么？

我已经添加了openid登录雅虎！和谷歌在我的网站。 这是好的，工作很好

当用户选择例如Yahoo！要登录我的网站，他们也将登录他们的雅虎邮箱帐户

我认为这是不安全的，因为他们可能没有注意到这个问题，并离开电脑，而他们的电子邮件帐户是可用的

您对此有何看法？对于您自己的站点，您的解决方案是什么？

---

我注意到stackoverflow.com也是如此。

当您使用yahoo登录OpenID时，将有两个会话，一个用于yahoo.com域，另一个用于目标站点（例如stackoverflow.com）

使用来自目标站点（来自stackoverflow.com域）的会话，攻击者无法在您的主yahoo帐户上执行任何操作，即使您在目标站点上的cookie被暴露

如果您担心您的yahoo帐户，您可以在通过stackoverflow.com验证后从yahoo.com域注销

---

注意：这不仅与雅虎、谷歌和其他公司有着相同的机制，应该没有问题。

这是一个典型的会话cookie，所以如果他们关闭浏览器，他们会没事的，但我理解你的担忧。我真的很想听听雅虎到底在说什么！团队必须自己说；如果没有人从Y！发现这个问题，我想在。

也许没有一个主题是可以接受的，正确的答案。无论如何谢谢你提及此事你知道，你可以接受自己的答案3汉克斯马克。问题是。。。我的一些网站用户不熟悉openid。我担心他们的安全。也许最好向他们显示一条消息，并提醒他们这个问题。