Immagina un sito in cui HTTPS non viene utilizzato, per ragioni buone o cattive. L'amministratore di questo sito ha ancora bisogno di un modo per proteggere le connessioni e pensa di utilizzare l'autenticazione univoca solo con i social network (Facebook, Google, ecc.), Assumendo che le password siano protette poiché la connessione (solo al social network) sarà sicura . I protocolli utilizzati saranno generalmente SAML, OAuth2 o OpenID.
Sto semplicemente chiedendo, dal momento che non conosco bene le specifiche di questi protocolli, la connessione sicura tra il client e l'host del sito web richiesti per l'autenticazione univoca per essere sicuri? In altre parole, sarebbe possibile annusare il carico utile che tiene collegato l'utente (credo che sia conservato nei cookie) e usarlo?