別の参加者からは、もっと深刻な問題の指摘があった。OpenID認証プロセスの一部の説明に“マジック”という曖昧な表記を使っていたWillison氏のスライドに言及して、OpenIDのセキュリティモデルはセキュリティや暗号化の専門家によってきちんとレビューと調査が行われているのか、という質問だった。SSLのような確立され、入念に調査されたシステムでさえ新たな攻撃の脅威にさらされているというのに、どうしてそんなマジックを信用できようか、というのだ。
パネリストの何人かは、OpenIDは発展途上であって決して完全なセキュリティを提供するものではないと考えるべきだが、エクスプロイトに関しては積極的なメンテナンスと監視が必要だと主張した。またTom氏は、Yahoo!のエンジニアリングチームがOpenIDを調査したところ、少なくとも同社の独自認証システムと同等のレベルにあることがわかった、と述べたうえで「暗号法はロケット工学ほど完成されてはいない」と付け加えた。
OpenID URLのドメイン乗っ取り、プライバシー、単一障害点といった問題についての質問もあった。また、パネリストから具体的な回答が示された話題もあれば、そうでないものもあった。途中、Tom氏はOpenIDを“基本的に、電子メールによってパスワードを再設定する便利な方法”だと発言していた。また、私が興味深いと思ったのは、パネリストの皆さんは何種類のOpenIDを持っていますか、という最後のほうに出た質問だ。答えは「4つか5つ」、「6つ」、「7つか8つ」といったものだった。
とにかく楽しいセッションだった。結局、Culver氏も本気で論戦を挑むことはなかった。そのような激しい質疑応答が期待できるパネルだという触れ込みで、しかもKveton氏の最初の一言は「私はOpenIDに入れ込んでいる。だが、こいつは最低なやつだ」と挑発的なものだったのだが。
OpenIDについては多くの誤解がある。発案者側に原因のあるものもあれば、アイデンティティ、認証、セキュリティの区別をおしなべて曖昧にしている実世界の実装に起因したものもある。実際のところ、OpenIDはアイデンティティしか定義していないのだが、シングルサインオン・ソリューションの導入には残る2つも必要になる。そのことを普通のWebユーザにわかってもらうのはなかなか難しい。
結局、このセッションは本当の支持者にとってOpenIDに関する疑念を晴らす場にも、逆に疑念を抱かせる場にもならなかった。とはいえ、疑問や批判、回答、解決策がオープンにやりとりされる状況を目にするのは新鮮だった。