Molti siti abilitati openid hanno come impostazione predefinita gli identificativi http, anche se il provider openid supporta https (come myopenid.com).
Questo rappresenta una minaccia a parte l'identità che viene esposta? Il secondo passo dell'autenticazione openid include una verifica della firma fornita dal provider di identità. Ma un provider di identità grezzi non potrebbe firmare nulla? Voglio dire c'è un passo nel protocollo openid che verifica che il provider sia valido per l'openid inserito?
Modifica: questa domanda riguarda consumatori come Stack Exchange, non provider di identità. Stack Exchange utilizza solo https per Google e http non criptato per tutti gli altri provider di openid. So che myopenid.com supporta https, ma Stack Exchange non lo usa. Lo stesso vale per le altre parti, anche quelle che di solito prendono la sicurezza più seria di Stack Exchange, e. g. Source Forge.