Por exemplo, a vítima precisa ter um OpenID, o atacante também precisa ter um OpenID do mesmo provedor, e o atacante também precisa conhecer o OpenID da vítima. Mais adiante, o processo de autenticação precisa permitir a submissão de uma entrada de ID para descarte, e o ID alternativo deverá ser escolhido para a autenticação.
Entretanto, serão os testes que irão revelar o quão fácil seria cobrir todos esses critérios em um ataque bem sucedido. De acordo com os desenvolvedores, pelo menos um grande provedor de OpenID exibe esse comportamento. Os mesmos decretaram que a brecha possui um risco de segurança alto e recomendam que os usuários de seu CMS que utilizam OpenID, atualizem seus sistemas.
Saiba Mais:
[1] Heise Online: http://www.h-online.com/security/new...es-906646.html
[2] Typo3: http://typo3.org/
[3] OpenID: http://en.wikipedia.org/wiki/OpenID