A zöld lakat jó ahogy van.
#1-re: Nem. Nem az. Hiába ringatod magad abban a hitben, hogy az.
Közted és a szerver közt, bárki injektálhat ártó kódot akár a statikus html-be is, ami aztán...
#2-re: igen az. rajtad kívül senki más nem tudja meg annak a félmillió feltöltőkártyás ügyfélnek az adatait.
Ha eljutsz félmillióig, még azelőtt, hogy egy nem r=1 usernek is a kezébe akad az adathalász értesítő spamed, aki nem átall megnézni whois rekordot is a domain-re, majd jelent a CA-d felé és ha épp magyarországi lakcímmel regisztráltál, akkor csirt felé is. Aztán meg ha a TEK b...a rád az ajtót, meg...
Meg közben a szemfüles userünk tud jelenteni a mozilla... izé google felé is, akik valószínűleg önhatalmúlag is feketelistára tudnak tenni.
Tudom: át lehet játszani pár hop-on a dolgot, hogy lassabban találjanak meg a szervek, és addig is megszereztél némi hülyétől adatot.
És értem, hogy előtte azért bedőlt neked párszázezer hülye, mielőtt egynek feltűnik, hogy fake.
De attól még, szerintem az a lakat ott a helyén jó úgy, ahogy van és szerintem G-ék jó irányba mennek.
Régen volt FFox-ra egy jó kis addon: még azt is kiírta a lakat fölé húzva, hogy milyen AS-ből jön az oldal, és a domainhez tartozó whois rekordot. Kár hogy már nem emlékszem mi volt, és ha jól rémlik, rohadtul memleak-es volt.
Valószínűleg, ez sem lenne "silverbullet", mert az emberek nagyrésze még a location bar-ra se pillant rá.
De ha nagyon filozófikus irányba megyünk tovább: a legtöbb ember értelmezés nélkül bármilyen felugró ablakra nyomja a default fókuszban lévő gombot. Vagy ha az épp a nem, és még véletlenül az is lenne a jó választás neki, előfordul, hogy átnyom az igen-re.
Az emberi hülyeséget nem lehet gyógyítani.
De az a kis piros/zöld lakat legalább a cert-et/pki-hitelességet illetően egy hasznos infó.
Ha narizod a zöld, helyett, vagy a teljes szivárványpalettát odaképezed, avval még nem lesz használhatóbb!
UX szempontból így jó, ahogy van. Illetve, ahogy lesz. Szerintem.