Un site qui utilise un nom d'utilisateur/mot de passe pour que les utilisateurs se connectent a évidemment besoin de ce processus de connexion pour s'exécuter sur https. Est-ce la même chose quand on utilise seulement OpenID, ou est-ce que le fournisseur utilise assez https pour assurer la sécurité?Une page utilisant OpenID pour la connexion doit-elle être diffusée via https?
Tout doit toujours être HTTPS pour être sécurisé. Sinon, un attaquant peut intercepter la chaîne OpenID fournie par l'utilisateur et la remplacer par son propre serveur OpenID illicite. Ce serait mauvais, et tromper tous les utilisateurs sauf les plus avertis en entrant leur mot de passe dans le mauvais serveur.
Ils pourraient même remplacer votre renvoi au client par un vers le vrai serveur OpenID, et laisser le client (inefficace) se connecter avant de retourner sur votre site ... S'ils le font, ils ne peuvent pas voler le mot de passe de l'utilisateur, mais ils ont toujours une porte dérobée dans leur compte. Peut-être plus important encore, si vous n'utilisez pas HTTPS, les cookies de session que vous envoyez ne sont pas sécurisés. Un attaquant peut donc attendre jusqu'à ce qu'un utilisateur soit connecté, puis voler sa session.