Recentemente ho visitato un sito Web che aveva una connessione HTTPS. Ora ha solo una semplice connessione HTTP e il metodo di autenticazione è cambiato da utente + password a "autenticarsi con l'account Google".
Li ho contattati e ho chiesto loro perché hanno abbandonato l'HTTPS e mi hanno detto "perché ora l'autenticazione è protetta con Google, quindi non è più necessaria".
Beh, non sono un esperto in sicurezza, ma prima di rispondere a loro, vorrei sapere: cosa potrebbe andare storto?
Quindi, con la mia piccola conoscenza, direi (correggimi se sbaglio):
- Perdita di privacy nelle comunicazioni tra client e server (l'utente malintenzionato può leggere tutte le informazioni scambiate e ciò include le informazioni personali che il cliente potrebbe pubblicare sul server).
- Un utente malintenzionato potrebbe modificare le richieste del cliente, magari con intenzioni malevole.
- Un utente malintenzionato potrebbe leggere il cookie e utilizzarlo per ottenere l'accesso al servizio come se fosse il client che ha autenticato originariamente utilizzando i servizi di Google.
Ho ragione? Cos'altro potrebbe andare storto?