"Ötletnek nem rossz, de még csak opció ez a feature."
Nem mindenhol. Évvek korábban sz*vtam vele, hogy egyik nap a webrtc már csak https-el működött. Ez azért volt gáz, mert az alkalmazás csak lokális hálózaton (saját wifi AP-val) működött. Persze a megoldás az lett, hogy a felhasználóknak telepíteni kell root cert-et, amivel a lokális cím alá van írva.
Évekkel később mennyire lesz biztonságos a https, ha mindenféle nyomtató, kamera, stb. localnet-es beállításához a gépek tele lesznek ilyen cert-ekkel?
Egy idő után erre kénytelenek lesznek a gyártók beépíteni mechanizmust, ami elő tudja állítani a valid-nak látszó tanúsítványt lokális hálózaton DHCP-vel osztott címre is. Ekkor a hacker-ek kézikönyve:
1. Végy egy (pl) HP nyomtatót
2. Legyen a nyomtató neve otp
3. Az otthoni route-ed hu tartományból adjon címet a nyomtatónak
4. A nyomtató tanúsítványa ekkor hivatalosan aláírt az otp.hu címe, ami minden HP nyomtatót használó böngénszőben valid, amit csak le kell tölteni
A másik megoldás, hogy ki kell bányászni a firmware-ből azt a tanúsítvány amellyel magának generál DHCP címre és azzal aláírni az otp.hu-t.
Attól tartok, a lokális hálózatokra erőltetett https-el épp aláássák a tanúsítvány láncok biztonságát.