Imaginemos un sitio donde no se utiliza HTTPS, por cualquier razón buena o mala. El administrador de este sitio todavía necesita una forma de asegurar las conexiones y pensar en usar una autenticación única solo con redes sociales (facebook, google, etc.), asumiendo que las contraseñas estarán protegidas ya que la conexión (solo a la red social) será segura . Los protocolos utilizados generalmente serán SAML, OAuth2 u OpenID.
Simplemente pregunto, ya que no conozco bien las especificaciones de estos protocolos, ¿se requiere la conexión segura entre el cliente y el host del sitio web para que la autenticación única sea segura? En otras palabras, ¿sería posible rastrear la carga útil que mantiene al usuario conectado (supongo que se mantiene en las cookies) y utilizarlo?