Sto lavorando su un nuovo sito e, al fine di evitare problemi di sicurezza, ho intenzione di fornire login Google e Facebook al mio sito web.
Ho ancora bisogno di un certificato SSL o non è necessario?
Inoltre, quando un utente passa attraverso Google o Facebook Oauth, Google e Facebook si prendono cura delle credenziali e delle password?
L'utilizzo di SSL protegge i tuoi utenti dal phishing
Se non si protegge la connessione tra il sito Web e il client, un utente nel mezzo può modificare il contenuto della pagina per provare a rubare le credenziali degli utenti. Quando il Bob si collega al tuo sito web, il browser recupera il contenuto della pagina. Se c'è un uomo nel mezzo tra il PC di Bob e il tuo server, può modificare il contenuto della pagina prima di inviarli a Bob. In questo caso, quando Bob tenta di accedere al tuo sito web con Facebook, si collegherà al sito malizioso, che cerca di ingannare l'utente e rubare le sue credenziali di Facebook.
Se utilizzi https nel tuo sito web, lo scenario sopra non avverrà mai. Perché il browser di Bob saprà che la connessione è stata interrotta.
Buona decisione di affidarsi a Google / Facebook per l'autenticazione dell'utente.
Penso che dipenda davvero dal tipo di informazioni che verranno scambiate tra il tuo sistema e gli utenti previsti. Dovrebbe essere privato?
Come regola generale, è meglio utilizzare SSL quando si pubblica un sito che supporta gli account utente e impostare il cookie di autenticazione su "sicuro" (il browser lo invia solo con https). Ciò rende molto più difficile dirottare le sessioni utente da parte di un man-in-the-middle - perché il cookie verrà crittografato.
Quando accedi a Google / Facebook, l'url a cui sei reindirizzato è https offline, ma dopo che gli utenti sono stati autenticati, spetta al tuo sito generare un cookie di sessione e mantenere le sessioni utente.
Leggi altre domande sui tag web-application tls