OpenID Consumer: HTTPS + запрос ассоциации без шифрования?

Question

Я использую OpenID.

Мне интересно, безопасно ли не использовать запрос ассоциации Диффи-Хеллмана, если к конечной точке обращаются через HTTPS? Я думал, что где-нибудь прочитал, что это излишне, и это имело смысл для меня, но я бы предпочел убедиться.

Answer 1

Обычно это безопасно, если только вы не подозреваете, что кто-то может подслушивать ваше HTTPS-соединение - и в этом случае у вас, вероятно, более серьезная проблема, чем безопасность OpenID.

Answer 2

На уровне безопасности программного обеспечения избыточная защита - это хорошо.