Supponiamo che un utente malintenzionato abbia accesso a un elenco di token OpenID, che cosa potrebbe sfruttare l'attaccante per accedere a un sistema?
Avrebbero bisogno di avere un'altra informazione, MITM? Oppure possono semplicemente usarlo per autenticarsi.