Sto lavorando su un sito dove tutte le autenticazioni sono su facebook oauth2. Considero la natura dei nostri contenuti non critica (in pratica notizie). Ho avuto alcune discussioni con il cliente sulla sicurezza del sito e ho sentito che non c'era una buona ragione per farlo adesso, ma che Facebook e Microsoft fanno per tutto il traffico (loggato e non registrato) mentre SO no.
Non tenendo conto delle prestazioni, ci sarebbero motivi di sicurezza per l'esecuzione del sito su HTTPS? Sto usando Rails con OmniAuth. Anche se considero il contenuto non critico, potrebbe essere più facile aggiungere a questo punto - forse la messaggistica da utente a utente (una funzionalità attualmente non implementata richiederebbe questo - forse una ragione per cui SO non ha utente-a -la messaggistica utente?). Poiché tutta la mia autenticazione con Facebook è su HTTPS, ci sarebbe QUALUNQUE ragione per cui il mio traffico non HTTPS con l'utente finale avrebbe introdotto un rischio per la sicurezza per l'utente finale?
Te lo chiedo perché, quando si parla di sicurezza, sono spesso sorpreso di ciò che non so.
Uso i cookie HttpOnly in Rails 3.1. Una cosa che ho notato è che posso copiare il cookie e accedere anche con HttpOnly in un altro browser. Hmm .... non quello che mi aspettavo.