OPのセキュリティレベル
OpenIDの一番の問題点は
OPのセキュリティレベルがユーザから見えない
ところにあると思うんですよね。
ユーザはアカウントを持っているサービスのボタンがあるので
押すとその確認画面が表示されて
OKを押すとログインできてしまうので
そのOPとのやり取りがhttpsを利用しているのかとか(URL見ればわかる人はわかるけど)
鍵にSHA1を使ってるのかSHA256を使っているのか、
とか判りにくいんですよね。
でも、RP側ではOPのセキュリティレベルって
ある程度認識出来ると思うので、
OPのセキュリティレベルをRP側で
表示してあげるのもありかなと、ふと思いました。
OP側のセキュリティ対策は過度なほど見受けられますが、
RP側のセキュリティ対策はあまり目立たない気がしますね。
知らないだけかもしれませんが...