Cómo proteger OAuth en un sitio web HTTP [cerrado]

1

Quiero usar OAuth de una fuente famosa (Facebook / Google / GitHub) como un mecanismo de inicio de sesión para los usuarios (por simplicidad y para evitar el almacenamiento de contraseñas).

¿Cuáles son los riesgos de seguridad? ¿Realmente necesito HTTPS / TLS en mi sitio web? ¿TLS lo hace 100% seguro?

    
pregunta bob dylan 08.05.2017 - 13:00
fuente

1 respuesta

3

Ningún sistema será 100% seguro. Creo que algunos proveedores de autenticación (como Facebook) lo obligarán a usar TLS y solo permitirá redirecciones a https:// sites. Si su conexión no está asegurada con TLS, un interceptor no autorizado podrá ver los tokens intercambiados en el proceso de autenticación de OAuth. Con Let's Encrypt disponible de forma gratuita, realmente no hay un buen argumento en contra de la solución TLS más básica.

    
respondido por el Jonas Köritz 08.05.2017 - 13:05
fuente

Lea otras preguntas en las etiquetas