( pink | 2021. 02. 26., p – 11:20 )

Igen, számít, mire épül a törés.

Tisztában kell azért lenni azzal a tradeoff-fal, hogy nem lehet mindig a tökéletes megoldást keresni. Mert minél tökéletesebb a megoldás, annál több ,,kompromisszummal" jár és annál kevésbé fog elterjedni a megoldás. Azt a legjobb már adekvát biztonságot nyújtó megoldást kell szerintem alkalmazni, ami már széleskörűen el tud terjedni.

Volt példa olyanra, amikor mondjuk a Symantec bukta a CA üzletágát, mert tömegesen fosták ki a megbízhatatlan cert-eket (asszem végül megvette tőlük a VeriSign). De ez is kiderült és azonnal felléptek ellenük.

Alapjában véve nem az a lényeges, hogy a Let's Encrypt-en keresztül bárki igényelhet cert-et. Az a fontos, hogy a Let's Encrypt által nyújtott domain validáció mennyire megbízható. Pont az általad is említett félmonopol helyzet enyhítésére (is) hozták létre.

A nagyobb megbízhatóságot követelő helyekre (pl. banking) meg ott az EV cert. Azt nem csinálhat bárki, és bele vannak drótozva a böngészőkbe a jogosult CA-k, nem lehet spoofolni, nem tud trükközni a munkáltató tűzfala sem.

Kerülön én is a mainstream dolgokat, mint pl. facebook, de van egy csomó olyan dolog, ami ellen nem tudsz tenni. Pl. a köztéri kamerák. Hiába veszel fel infravisszaverő szemüveget, az autód rendszámát akkor is látni fogják és a mozgásod elemzésével is fel tudnak ismerni. Valamint a ,,buta" telefon helyzetét is folyamatosan logolja a szolgáltató.
Hiába használsz protonmail-t, ha gmail-esekkel levelezel. Egyszer elérkezel a tökéletes rendszerbe, csak gyakorlatilag nem lesz ott rajtad kívül senki.
Szerintem sem így kellene lenni egy csomó mindennek, csak észre kell venni, hogy ezeknek a dolgoknak jelentős része kívül esik a cirle of control-on, és inkább a circle of concern-be tartozik sajnos.
Nem tudsz mindent elkerülni, kivédeni. Persze ettől még gondolkodni kell és ésszerűen döntéseket hozni, de mindent a helyén kell kezelni. Csak a saját körödön belül mozoghatsz. Én azt szeretném, ha minél tovább létezne ez a kör és minél nagyobb lenne.

Én sem vagyok szociológus, de szerintem az oktatás és nevelés nagyon fontos. Kisgyermek korban elkezdve lehetne magasabb tudatossági nívóra hozni a gyerekeket, hogy ne csak otthon lássák a proli szülők példáját. Nyilván mindenkinél nem fog ez se működni. De ugye tudjuk, hogy az életben nincs igen és nem; csak valószínűségekről és eloszlásokról lehet beszélni. És egy eloszlást el lehet szerintem tolni annyira, hogy bizonyos dolgok szignifikánssá váljanak.

All in all, szerintem az nem érv a https ellen, hogy hát ez sem tökéletes. A plaintext-tel szemben mindenképpen fényévnyi előrelépés.

Megjegyzem, nem a Te speciális esetedről és hostingodról beszéltem egyik hozzászólásomban sem, csupán generálisan az enkripsön vs. no-enkripsön témáról.