Primero, tengo un delegado privado configurado en mi sitio web para OpenID y señalé mi cuenta SE en la URL de mi sitio web; SE no tiene conocimiento del punto final real del proveedor de OpenID hasta que mi respuesta de delegado lo indique.
En segundo lugar, al autenticar en SE y otros, observo que si no escribo explícitamente https: // ... se realiza la solicitud mediante HTTP en lugar de HTTPS.
Tercero, al asociar mi cuenta de SE con mi punto final de OpenID, puedo usar HTTP o HTTPS para iniciar sesión, a pesar de usar HTTPS cuando la cuenta estaba asociada.
Por lo tanto, ¿esto no me abre a un ataque MITM en el que el atacante simplemente modifica la respuesta de mi servidor web para delegar en su propio proveedor de OpenID, y así obtener acceso a mi cuenta de SE?
Nota: no estoy hablando del paso de autenticación real con el proveedor de OpenID, que utiliza HTTPS y redirige a HTTPS si se accede a través de HTTP. Estoy hablando de la solicitud inicial de SE a mi delegado, que SE permite ser hecho usando HTTP porque solo almacenan la URL desde el dominio base en adelante (omitiendo tanto el protocolo como el subdominio) para usar para hacer coincidir una cuenta en lugar de la URL completa.