oauth（ツイッター/一般向け）はhttpで安全です

Question

私は自分のウェブサイトにtwitterログインを実装しようと考えています。私はすべてを世話するライブラリを使用しています。しかし、最初のステップ：要求トークンを取得すること、twitter strongly recommendsそのyou use HTTPS for all OAuth authorization steps。

もう1つ質問がありますが、すべてのリクエストに応じてTwitterに返信するoauth_tokenはありますか？そして、twitterからアクセストークン配列が送られてくると、次回のユーザログイン時に値が変わるのですか？データベースに保存したいからです。

HTTPSを使用していない多くのウェブサイトがあります。私の質問に戻ると、httpsなしでoauthを使用するのは安全ですか？

Answer 1

いいえ、OAuthで通常のhttpを使用するのは安全ではありません。 httpsを使用しないログインの中間攻撃では、人をやるのは比較的簡単です。最近、多くの人がこの方法でTwitterアカウントやFacebookアカウントをハッキングしていると不満を抱いています。私自身のような多くの人々は、ブラウザープラグインを使用して、利用可能な場合にサイトのTwitterとFacebookを自動的にhttpsに強制します。この攻撃は、ワイヤレスインターネットを使用する人々にとって特に一般的です。特に、カフェ、ホテル、空港などの共有ワイヤレス。