Se uno ha effettuato l'accesso a un sito "vulnerabile al cuore" utilizzando OpenID, ad esempio, utilizzando Google per accedere a StackExchange, significa che anche la password di Google è a rischio?
OAuth e OpenID non inviano la tua password ai siti che usi i provider OAuth / OpenID per accedere, quindi no. A meno che l'attacco non venga eseguito sul provider OAuth / OpenID e i server del provider siano vulnerabili a CVE-2014-0160 (The Heartbleed Bug). È comunque possibile, naturalmente, a condizione che i siti che si stanno accedendo utilizzando i provider OAuth / OpenID siano vulnerabili a Heartbleed, che altre informazioni potrebbero perdere, come ad esempio il proprio indirizzo email o le informazioni sulla sessione utente con cui potrebbe essere dirottato per la durata che è valido per.
Leggi altre domande sui tag oauth openid heartbleed