Estoy trabajando en un nuevo sitio, y para evitar problemas de seguridad, planeo proporcionar el inicio de sesión de Google y Facebook a mi sitio web.
¿Sigo necesitando un certificado SSL o no es necesario?
Además, cuando un usuario pasa por Google o Facebook Oauth, ¿Google y Facebook se ocupan de las credenciales y contraseñas?
El uso de SSL protege a sus usuarios contra el phishing
Si no asegura la conexión entre su sitio web y su cliente, un hombre en el medio puede cambiar el contenido de la página para intentar robar las credenciales de los usuarios. Cuando Bob se conecta a su sitio web, su navegador recupera el contenido de la página. Si hay un hombre en el medio entre la PC de Bob y su servidor, puede cambiar el contenido de la página antes de enviarlos a Bob. En este caso, cuando Bob intenta iniciar sesión en su sitio web con Facebook, se conectará con el sitio web de tipos maliciosos, que intenta engañar al usuario y robarle sus credenciales de Facebook.
Si usa https en su sitio web, el escenario anterior nunca sucederá. Porque el navegador de Bob sabrá que la conexión está interrumpida.
Buena decisión de confiar en Google / Facebook para la autenticación de usuarios.
Creo que realmente depende de qué tipo de información se intercambiará entre su sistema y los usuarios previstos. ¿Debería mantenerse en privado?
Como regla general, es mejor usar SSL al publicar un sitio que admita cuentas de usuario y configurar la cookie de autenticación como "segura" (el navegador solo lo envía con https). Esto hace que sea mucho más difícil secuestrar las sesiones de usuario por parte de un intermediario, porque la cookie se cifrará.
Cuando inicias sesión a través de Google / Facebook, la URL a la que te redireccionan es https fuera del curso, pero una vez que los usuarios se autentican, depende de tu sitio generar una cookie de sesión y mantener las sesiones de los usuarios.
Lea otras preguntas en las etiquetas web-application tls