Hlavní navigace

Názor ke zprávičce Vývojová verze Firefoxu chce HTTPS na stránkách s přihlášením od Vít Šesták - To je docela kontroverzní. Jsem pro rozšiřování HTTPS....

  • Aktualita je stará, nové názory již nelze přidávat.
  • 24. 10. 2015 22:52

    Vít Šesták

    To je docela kontroverzní. Jsem pro rozšiřování HTTPS. Toto IMHO přinese dva dopady, jeden pozitivní a jeden negativní:

    Pozitivní: Provozovatelé stránek budou více tlačeni používat HTTPS a snad se HTTPS díky tomu více rozšíří.

    Negativní: Je to nekonzistentní, a tedy potenciálně matoucí. Když uživatel bude mít přeškrtnutý zámek na některých stránkách, které nechrání zadávaná hesla, mohou očekávat, že se toto bude objevovat na všech takto problematických stránkách. Což ale není pravda, <input type="password"> se dá nasimulovat pomocí JS nebo snad i pomocí čistého CSS s webfontem. Předpokládejme, že autoři stránek se k tomu uchylovat nebudou. Ale co útočníci? Jako aktivní útočník bych právě vhodně modifikoval stránky, abych se vyhnul tomuto varování, zkombinoval to třeba s sslstrip a uživatelé by měli falešný pocit bezpečí.

    Tedy doufám, že je to jen dočasné opatření. Dát přeškrtnutý zámek na HTTP úplně všude* by bylo aspoň konzistentní řešení, byť možná dnes trošku uspěchané. (Pokud se to bude ukazovat na polovině webu, kdo se tím bude zabývat?)

    *) Dá se ještě uvažovat o výjimkách jako localhost, ale nesmí se to přehnat… Nedám z fleku řešení, se kterým bych si byl 100% jist.