<html><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><META name="Author" content="Novell GroupWise WebAccess"></head><body style='font-family: Helvetica, Arial, sans-serif; font-size: 13px; '>Hi,<br><br>I just seal the hole by disabling the duplicated email :) <br>Yes...the email account backward-compatibility should be rethought.<br><br>@Rimas, would you help to try out that any methods <br>can do the bad thing again? I need to make sure the current secure <br>level takes effect.<br><br>Best wishes,<br>Yifan<br><br>>>> Yi Fan Jiang 10/11/12 6:18 PM >>><br><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta name="Author" content="Novell GroupWise WebAccess">Hi Rimas,<br><br>Ouch...great catch!! I'll definitely look into it.<br><br>Best wishes,<br>Yifan<br><br>>>> Rimas Kudelis <rq@akl.lt> 10/11/12 6:08 PM >>><br>Hi Yifan!<br><br>2012.10.11 12:43, Yi Fan Jiang rašė:<br>> I have brought OpenID to Moztrap this week, the following is the test<br>> page for login:<br>><br>> http://vm12.documentfoundation.org/openid/login/<br><br>thats awesome!<br><br>> I will update the main login page to add openid support next weekend<br>> if no critical issue found.<br>><br>> Functions currently supported (testing required)<br>> ================================================<br>><br>> * Based on EMAIL address, native login/Mozilla Persona/OpenID are all<br>> mapped to the same user in Moztrap now, so they should be seamlessly<br>> worked together. Those details as follows.<br>><br>> - If you have a native registered moztrap user or ever used Mozilla<br>> Persona to login, and your openid provides an exact same EMAIL of such<br>> an account, the original user and openid user will be treated exactly<br>> identical.<br>><br>> Actually you should feel nothing changed except inputting password is no<br>> longer needed :)<br><br>Great! Except here's a critical issue for you: I have just managed to<br>log on to MozTrap as you!!!<br><br>Here's the proof: http://i.imgur.com/eF0Cl.png .<br><br>In case you're wondering how I did this: I logged on to my weblog, set<br>my email in my profile to yfjiang@suse.com, and used its OpenID provider<br>to log in to the test website. Since I don't need to proove to my weblog<br>or the demo site that the email is indeed mine, I basically have full<br>control over MozTrap now. So, not a good thing. This needs some<br>rethinking. Most obvious option would be to use the OpenID URL (or<br>whatever it is that OpenID provides as the identifier) as id when<br>logging in using OpenID. This would also have a nice "side effect" that<br>the user could change their primary email, and still be able to log in<br>with the same user id and permissions.<br><br>Regards!<br>Rimas<br><br><br></body></html>