Recentemente ho visitato un sito web che aveva una connessione HTTPS. Ora ha solo una semplice connessione HTTP e il metodo di autenticazione è cambiato da utente + password a "autenticazione con account Google".
Li ho contattati e ho chiesto loro perché hanno abbandonato l'HTTPS e mi hanno detto "perché ora l'autenticazione è sicura con Google, quindi non è più necessaria".
Beh, non sono un esperto di sicurezza, ma prima di rispondere vorrei sapere: cosa potrebbe andare sbagliato?
Quindi, con la mia scarsa conoscenza, direi (correggimi se sbaglio):
- Perdita di privacy nelle comunicazioni tra client e server (l'attaccante può leggere qualsiasi informazione scambiata, comprese le informazioni personali che il client potrebbe pubblicare sul server).
- Un utente malintenzionato potrebbe modificare le richieste del client, magari con intenzioni dannose.
- Un l'autore dell'attacco potrebbe leggere il cookie e utilizzarlo per ottenere l'accesso al servizio come se fosse il client originariamente autenticato utilizzando i servizi di Google.
Ho ragione? Cos'altro potrebbe andare storto?