A "jól működő https oldallal" nem lenne probléma, csak a gyakorlatban olyan sajnos nincs - de legalábbis igen ritka. Amiket Te mint "egyszerű user" látogatsz, azok szinte kivétel nélkül hamis biztosnágérzetben ringatnak, ami bizony neked rossz. Még akkor is, ha nem tudsz róla.
1.
A HTTPS oldalakhoz egy 3rd party (profitorientált) cégtől kell megvásárolni a tanúsítványt. Ebben a cégben Te mint olvasó is feltétel nélkül meg kell hogy bízz. És meg is bízol, mert a Mozilla/Microsoft/Apple megmondta (előre telepítette) neked a cégek root certificate-jeit.
Ilyen cégből viszont elég sok van, nézd csak meg (firefox esetén): Preferences -> Advanced -> Certificates -> View Certificates -> Authorities
Amennyiben Te nem bízol meg az itt felsorolt cégek MINDEGYIKÉBEN, akkor már eleve veszett fejsze nyele ez az egés HTTPS mizéria. Ugyanis ezek BÁRMELYIKE ki tud állítani olyan (pl hup.hu-ra szóló) tanúsítványt amire a böngésződ szép szemkápráztató zöld lakat megjelenítésével reagál.
(Nagyon leegszerűsítve elég csak ezen cégek közül csak egyet komprommitálni/lefizetni/feltörni és az egész világ a Te kezeidben lehet ;)
2.
a bejelentkezési adatok biztonságos(abb) elküldését már jópár évvel ezelőtt kitalálták, nem csak a clear text auth létezik ;)
3.
A legtöbb accountot NEM a https hiánya miatt szerzik meg a gyakorlatban, hanem a ratyi webalkalmazások, rosz tervezés, frissítések hiánya miatt.
4.
a HTTPS nem véd a gonosz/támadó jellegű tartalom ellen. Esetünkben pedig a tartalom (külső linkek) a userektől jönnek, így megbízhatatlan(nak kellene tekinteni) mind. Ezzel szemben a legtöbb user vakon klikkel bármire, "mert hát ott a zöld lakat, mi baj lehetne???"
(Ha nem így lenne, akkor az pl FB sem jelezné ezt külön egy felugróablakban, hogy biztosan elhagyni akarod az adott oldalt, és a vad interneten szörfözni készülsz?)
5.
A titkosítás "miatt" még csak megvédeni sem lehet a szerencsétlen usereket, mert sem proxy, sem tűzfal nem tudja (értelmesen) elemezni a "zöldlakatos" forgalmakat.
6.
Keress csak rá arra, hogy az elmúlt egy évben hányszor vérzett el az összel SSL/TLS implementáció;)
Ezekkel szemben ha nincs HTTPS, csak sima HTTP elérés, akkor az oldal üzemeltetője nem is sugall semmit olyat, amit esetleg az egyszerű userek (hibásan) feltételeznek egy HTTPS oldalról.
Te mint user sem (de legalábbis kisebb eséllyel) esel abba a hibába, hogy máshol is használt jelszót adj meg, olyan önynugtató mantrával, hogy hát ez it biztonságban van, mert ződ a lakat.
szerintem.
--
zrubi.hu