Web applications 使用OpenID登录的页面是否需要通过https提供服务?
使用用户名/密码进行用户登录的站点显然需要通过https运行该登录过程。当仅使用OpenID时是否也适用于此,或者提供商使用https是否足以确保安全?所有内容仍然必须使用https才能确保安全。否则,攻击者可以截获用户提供的OpenID字符串,并将其替换为自己的恶意OpenID服务器。这将是糟糕的,并且欺骗除最精明的用户之外的所有用户将密码输入错误的服务器 他们甚至可以将您对客户端的引用替换为对真正的OpenID服务器的引用,并让客户端(无效地)在返回您的站点之前登录。。。如果他们这样做,他们就不能窃取用户的密码,但他们仍然可以通过后门进入自己的帐户Web applications 使用OpenID登录的页面是否需要通过https提供服务?,web-applications,openid,Web Applications,Openid,使用用户名/密码进行用户登录的站点显然需要通过https运行该登录过程。当仅使用OpenID时是否也适用于此,或者提供商使用https是否足以确保安全?所有内容仍然必须使用https才能确保安全。否则,攻击者可以截获用户提供的OpenID字符串,并将其替换为自己的恶意OpenID服务器。这将是糟糕的,并且欺骗除最精明的用户之外的所有用户将密码输入错误的服务器 他们甚至可以将您对客户端的引用替换为对真正的OpenID服务器的引用,并让客户端(无效地)在返回您的站点之前登录。。。如果他们这样做,他们
也许更重要的是,如果您不使用HTTPS,那么您发送的会话cookie是不安全的。因此,攻击者可以等待用户登录,然后窃取他们的会话。所有内容仍然必须是HTTPS才能安全。否则,攻击者可以截获用户提供的OpenID字符串,并将其替换为自己的恶意OpenID服务器。这将是糟糕的,并且欺骗除最精明的用户之外的所有用户将密码输入错误的服务器 他们甚至可以将您对客户端的引用替换为对真正的OpenID服务器的引用,并让客户端(无效地)在返回您的站点之前登录。。。如果他们这样做,他们就不能窃取用户的密码,但他们仍然可以通过后门进入自己的帐户 也许更重要的是,如果您不使用HTTPS,那么您发送的会话cookie是不安全的。因此,攻击者可以等待用户登录,然后窃取他们的会话