DotNetOpenAuthを使用すると、デフォルトでSSLを要求できますが、特定のプロバイダにはSSLを必要としませんか？

Question

私のユースケースはとても簡単です：誰でもカスタムを入力した場合、OpenIDはSSLを適用しますが、私は信頼できるプロバイダをいくつも設定していますが、残念ながらそのうちの1人がクレームにSSLを使用していませんDNOAのアラーム音を鳴らします。

requireSsl="false"以外にもこれを回避できますか？

さらに重要なことは、これはどれくらいのことですか？

Answer 1

SSLを要求すると、DNS中毒攻撃から保護されます。特定のURLであってもそれをオフにすると、常時オフにしているかのようにセキュリティが低下する可能性があります。 DNSポイズニング攻撃は、「信頼できる」プロバイダであっても、ユーザーのなりすまし（攻撃者が他のユーザーとしてログインする）を許可します。

プランを続行する場合は、個々のOpenIdRelyingPartyインスタンスをSecuritySettingsプロパティで調整してRequireSsl設定をカスタマイズできます。