A differenza dei metadati WS-Federation / WS-Trust, l'endpoint di scoperta OpenID non è firmato. Ciò si traduce in un numero di minacce possibili su questo endpoint.
C'è qualche giustificazione nel non firmare questo endpoint? C'è una limitata efficacia nel farlo?