使用用户名/密码登录用户的站点显然需要通过https运行登录过程。仅使用OpenID时是否同样适用,或者提供商使用https足以确保安全性?
答案 0 :(得分:1)
所有内容仍然必须是HTTPS以确保安全。否则,攻击者可以拦截用户提供的OpenID字符串,并将其替换为自己的恶意OpenID服务器。这将是糟糕的,除了最精明的用户之外,所有用户都要将密码输入到错误的服务器中。
他们甚至可以用一个真实的OpenID服务器替换你对客户端的推荐,并让客户端(无效地)在返回你的网站之前登录......如果他们这样做,他们就不会窃取用户的密码,但他们仍然有一个后门进入他们的帐户。
也许更重要的是,如果您不使用HTTPS,则您发送的会话Cookie不安全。因此,攻击者可以等到用户登录,然后窃取他们的会话。