Ono ani není potřeba, aby byla děravá implementace, je to děravé už z principu. Klient pošle HTTP požadavek na server, a ten musí v rámci zpracování požadavku navázat další HTTP spojení s jiným serverem, něco s ním vyřídit – a mezi tím musí první spojení čekat a běží mu timeout (a nebo se první spojení dokončí a pošle se nějaká stránka „nezavěšujte, jste v pořadí“). To ještě není nebezpečné, je to jenom problematické. Za druhé ale server musí při x různých požadavcích navázat spojení s x různými servery na internetu (a nejprve musí resolvovat jejich jména) – kromě toho, že to je v rozporu se zásadou, že server pokud možno nenavazuje žádná spojení mimo vlastní síť, je to dobré místo pro „obrácený“ DDOS útok – zatímco při normálním DDOS útoku se na jeden server sesype spousta požadavků od klientů, v tomhle případě se server zneškodní sám, protože se pokusí sám navázat spojení s obrovským množstvím klientů. Takže mně OpenID připadá podobné, jako různé techniky obrany proti spamu – je to použitelné, dokud to používá málo lidí.