J'ai récemment visité un site Web qui avait une connexion HTTPS. Maintenant, il n'a qu'une simple connexion HTTP, et la méthode d'authentification est passée de utilisateur + mot de passe à "s'authentifier avec un compte Google".
Je les ai contactés et leur ai demandé pourquoi ils avaient abandonné le HTTPS, et ils m'ont dit "car maintenant l'authentification est sécurisée avec Google, donc ce n'est plus nécessaire".
Eh bien, je ne suis pas un expert en sécurité, mais avant de leur répondre, j'aimerais savoir: ce qui pourrait se passer mal?
Donc, avec mon peu de connaissances, je dirais (corrigez-moi si je me trompe):
- Perte de confidentialité dans les communications entre le client et le serveur (l'attaquant peut lire toutes les informations échangées, y compris les informations personnelles que le client peut publier sur le serveur).
- Un attaquant pourrait modifier les demandes du client, peut-être avec des intentions malveillantes.
- Un l'attaquant pourrait lire le cookie et l'utiliser pour accéder au service comme s'il s'agissait du client qui s'était authentifié à l'origine à l'aide des services de Google.
Ai-je raison? Qu'est-ce qui pourrait mal tourner?