Чи можна використовувати DotNetOpenAuth SSL за замовчуванням і не вимагати його для конкретних постачальників?

Мій випадок використання досить простий: я бажаю SSL за замовчуванням, так що якщо хтось вводить користувальницький OpenID, він застосовує SSL, але я маю певну кількість постачальників, яким довіряю, і, на жаль, один з них не використовує SSL для ідентифікатора претензії (але для імені для входу), який встановлює сигнали тривоги DNOA.

У будь-якому випадку, окрім використання requireSsl = "false" ?

Можливо, що важливіше, чи має це значення?

0

1 Відповіді

Вимагаючи SSL захищає вас від DNS-отруйних атак. Якщо ви вимкнете його, навіть лише для певних URL-адрес, ви, ймовірно, знижуватимете рівень безпеки, як якщо б ви його вимикали весь час. Атака DNS-отруєння дозволить користувачеві спуфінг (зловмисник увійти в систему як хтось інший), навіть для "надійних" провайдерів.

Якщо ви хочете продовжити свій план, ви можете налаштувати параметри RequireSsl, налаштувавши індивідуальний примірник OpenIdRelyingParty за допомогою властивості SecuritySettings .

1
додано
Слідуючи, це чудово!
додано Автор kamranicus, джерело