Estoy trabajando en un sitio donde toda la autenticación es a través de facebook oauth2. Considero que la naturaleza de nuestro contenido no es crítica (básicamente, noticias). Tuvo algunas conversaciones con el cliente sobre la seguridad del sitio y sentí que no había una buena razón para hacerlo en este momento, pero que Facebook y Microsoft lo hacen para todo el tráfico (conectado y no registrado), mientras que SO no.
No teniendo en cuenta el rendimiento, ¿habría algún motivo de seguridad para que ejecutemos el sitio a través de HTTPS? Estoy usando Rails con OmniAuth. A pesar de que considero que el contenido no es crítico, podría ser más fácil agregarlo en este punto, tal vez la mensajería de usuario a usuario (una característica que actualmente no está implementada requeriría esto) tal vez una razón por la cual SO no tiene usuario para ¿Mensajes de usuarios?). Dado que toda mi autenticación con Facebook es a través de HTTPS, ¿habría alguna razón por la que mi tráfico no HTTPS con el usuario final supondría un riesgo para la seguridad del usuario final?
Lo pregunto porque, cuando se trata de seguridad, a menudo me sorprende lo que no sé.
Estoy usando cookies HttpOnly en Rails 3.1. Una cosa que noté fue que podía copiar la cookie y obtener acceso incluso con HttpOnly en un navegador diferente. Hmm ... no es lo que esperaba.