Kifejezetten káros, olyan esetben:
ahol neked kell(ene) megvédeni a balga (céges) userereket az interneten fellelhető szeméthalomtól.
* Ilyenkor vagy kiengeded mindenhová a HTTPS forgalmat - így gyakorlatilag azt csinál mindenki amit nem szégyell. A mindenki alaltt pedig az összes useredet, és az összes weboldal "üzemeltetőt" is értem.
* vagy MITM támadást hajtasz végre rajtuk a céges tanúsítvány segítségével - ami jogilag igencsak aggályos.
* vagy megpróbálod URL alapján kiszűrni a nem kívánt tartalmakat - ami pedig a gyakorlatban nem működik.
vagy olyankor is káros a https eröltetése, amikor egy forgalom már beslső, erősen kontrollált hálózaton megy. Pl: reverse proxy és webszerver között, ahol szépen lehetne IDS/IPS/L7 rendszerekkel elemezni a foglamat, és ezzel megvédeni a webszervereket - de a bugyuta szabványok miatt - amik csak azt szajkózzák, hogy HTTPS = jó, HTTP = rossz. - https-t kell hogy használj, így cserébe megfelelesz a PCI DSS-nek, de nem tudod megvédeni a webszerveredet és az azon futó ratyi alkalmazást az alapvetően primitív támadásoktól sem.
Ezen felül az egész HTTPS everywhere 'vallás' velejárója, hogy a kevésbé hozzáértőkbe már beleégett hogy HTTPS=biztonságos
A te példád is jól mutatja:
"Ezeknek a tomegeknek pont segitene ha megtanulnak, hogy az a zold lakat ott kell hogy legyen."
Mert ez így önmagában durva tévútra visz. Pont arra akartam felhívni a figyelmet hogy a zöld lakat nyugodtan ott lehet bármelyik adathalász, vírus és trójai terjesztő oldalon is. Csak annyit jelent, hogy a böngésződ és a szerver között titkosítva töltöd le a vírusokak, és/vagy adod oda az adataidat VALAKINEK, akiről sajnálatos módon nem tudod hitelt érdemlően megmondani hogy kicsoda. El kell hinned az ÖSSZES zöld lakatos tanúsítvány kiadónak, hogy ö istibizti igazat mond - ami kb annyit jelent, mindha megbíznál bárkiben aki becsönget hozzád és egy névjegykártyával "igazolja", hogy Ő bizony a megbízott pénzbeszedő, és neki kell odaadni a havi lakbért.
Szintén ennek áldozata az FTP forgalom, olyan esetekben is, ahol az ég világon semmi értelme titkosítani, hiszem mondjuk mindenki számára publikus (opensource) cuccokat töltesz le: ftp.kernel.org.
Ezek áteröltetése titkosított formára, teljesen felesleges, és az "álbiztonság" mellett új implementációs hibákat is bevonzanak. Feleslegesen.
szerintem.
--
zrubi.hu