Является ли oauth (для твиттера / или вообще) безопасным через http

Question

Я подумываю о том, чтобы зайти на мой сайт через твиттер. Я использую библиотеку, которая обо всем позаботится. Однако на первом шаге: извлеки токен запроса, твиттер настоятельно рекомендует , что you use HTTPS for all OAuth authorization steps.

Еще один вопрос, меняется ли oauth_token, который вам отправляет твиттер, при каждом запросе? И когда твиттер отправит вам массив токенов доступа, его значения изменятся при следующем входе пользователя в систему - я спрашиваю об этом, потому что хочу сохранить их в базе данных.

Я вижу много сайтов, не использующих HTTPS. Итак, вернемся к моему вопросу: безопасно ли использовать oauth без https?

Answer 1

Я бы сказал, что нет, небезопасно использовать обычный http для OAuth. Относительно просто сделать человека в середине атаки на логины, которые не используют https. Многие люди недавно жаловались на взлом этих учетных записей в твиттере и фейсбуке. Многие люди, такие как я, теперь используют плагины для браузера, чтобы заставить сайты Twitter и Facebook автоматически переходить на https при их наличии. Атака особенно распространена среди людей, которым вы пользуетесь беспроводным интернетом. Особенно общий беспроводной, например, в кафе, гостинице или аэропорту.