¿Es posible y / o seguro el SSO sin SSL?

1

Imaginemos un sitio donde no se utiliza HTTPS, por cualquier razón buena o mala. El administrador de este sitio todavía necesita una forma de asegurar las conexiones y pensar en usar una autenticación única solo con redes sociales (facebook, google, etc.), asumiendo que las contraseñas estarán protegidas ya que la conexión (solo a la red social) será segura . Los protocolos utilizados generalmente serán SAML, OAuth2 u OpenID.

Simplemente pregunto, ya que no conozco bien las especificaciones de estos protocolos, ¿se requiere la conexión segura entre el cliente y el host del sitio web para que la autenticación única sea segura? En otras palabras, ¿sería posible rastrear la carga útil que mantiene al usuario conectado (supongo que se mantiene en las cookies) y utilizarlo?

    
pregunta Simon 22.09.2016 - 06:55
fuente

1 respuesta

4

Un uso rápido de un motor de búsqueda me señala como el primer éxito de stackoverflow: ¿Se requiere que las aplicaciones cliente de Oauth2 tengan conexión SSL? cita la especificación OAuth 2.0 que se puede resumir con:

  

... el servidor de autorización DEBE requerir el uso de TLS ... El punto final de redirección DEBERÍA requerir el uso de TLS ... Las credenciales del token de acceso DEBEN ser transmitidas usando TLS

Para obtener más información, consulte la respuesta original en stackoverflow.

    
respondido por el Steffen Ullrich 22.09.2016 - 07:41
fuente

Lea otras preguntas en las etiquetas