Могу ли я требовать SSL по умолчанию с DotNetOpenAuth и не требовать его для определенных провайдеров?

Question

Мой пример использования довольно прост: я хочу использовать SSL по умолчанию, чтобы, если кто-то вводит custom OpenID, он применял SSL, но у меня есть набор провайдеров, которым я доверяю, и, к сожалению, один из них этого не делает используйте SSL для идентификатора заявки (но не для входа в систему), который отключает сигналы тревоги DNOA.

Любой способ обойти это, кроме использования requireSsl="false"?

Возможно, что еще важнее, имеет ли это значение?

Answer 1

Требование SSL защищает вас от атак отравления DNS. Если вы отключите его, даже для определенных URL-адресов, вы, скорее всего, снизите уровень своей безопасности, как если бы он был отключен постоянно. Атака отравления DNS позволила бы подменить пользователя (злоумышленник вошел в систему как кто-то другой) даже для ваших «доверенных» провайдеров.

Если вы хотите продолжить работу со своим планом, вы можете настроить параметры RequireSsl, настроив свой отдельный экземпляр OpenIdRelyingParty через его свойство SecuritySettings.