今度は、トラップサイトでログイン動作をした時のみ発生するという事で、危険性でいえば自分が何もしなくても問答無用でIDやPassを抜かれる可能性のあったHeartbleedよりずっと下、というか最近ではもう「よくある危険度の脆弱性」といってしまっていいレベルのものです。(こんなのがよくあるケースとか、嫌な話ですね。)
詳細は元記事をどうぞ
http://www.appps.jp/88572/
今回のキーとなるのはOpenIDで、最近よくみかける「googleアカウントでログイン」とか「FacebookIDでログイン」的な仕組みの不備を突いたもののようです。
ただし、たとえ上記のリンクをうっかり押してしまったとしても、「アプリを許可するよう求められ」るとの事で、正しい動作であればいちいちこんなメッセージはでませんので(よく連動アプリを使う方ならおわかりかと思いますが、アプリの認証がはいるのは普通初回だけです)、そうそうひっかかる方はいないかと思います。
可能性はあるよ、程度の話ですが、注意するにこした事はありませんね。
ちなみに弊社では「面倒くさい事こそ最大のセキュリティだ」というモットーのもと、OpenIDもオンラインパスワード管理ツールもつかわず、しかも全てのサービスでIDとパスワードをバラバラにして管理しています。
本気で面倒くさいですハイ。
