So wie du das Szenario schilderst gibt es in der Tat wenig Schutz, da ich ja wirklich einfach jede E-Mail – Adresse ausprobieren kann. Die Absicherung sollte deshalb auf Serverseite passieren.

Deshalb ist (nach meinem Verständnis) MicroID so ausgelegt, dass nur verifizierte E-Mail – Adressen verwendet werden sollten. Das ist in einem Blog (wie meinem) ein Problem, da jeder eine x-beliebige E-Mail – Adresse angeben kann.

Bei ClaimID läuft das z.B. anders, hier musst du dich zuerst anmelden und deine E-Mail – Adresse verifizieren (ClaimID schickt dir ne E-Mail mit Bestätigungslink). Wenn ClaimID jetzt die URL zu deinem Blog und deine verifizierte E-Mail – Adresse nimmt um die MicroIDs zu vergleichen, kann man davon ausgehen dass es auch wirklich dein Blog ist…