Názor k článku Bezpečné přihlašování uživatelů od M.L. - Pekny, ale pokud je "utocnik" v pozici ze...

Pekny, ale pokud je "utocnik" v pozici ze muze data odchytavat, tak musime pocitat s tim ze je muze i modifikovat (man-in-the-middle), treba tim ze ma pod kontrolou router nebo proxy server. Pak mu staci upravit prenaseny Javascript a heslo si s jeho pomoci bud nekam ulit, nebo nechat v extra hlavicce poslat nezasifrovane, nebo tak neco.

Podobny problem je v okamziku kdy se prihlasovaci formular nachazi na nezabezpecene strance, ackoliv jeho odeslani vede nekam na https:// adresu. Tak je to treba pri prihlasovani do Seznamu z jeho homepage. Kdyz bude "utocnik" po tech heslech opravdu touzit, tak proste cestou ke klientovi tuhle nezabezpecenou stranku upravi tak aby se formular odesilal nekam na jeho server.

Pravda, je to o neco slozitejsi nez pouhe poslouchani pomoci snifferu, ale zase ne o moc.

Shrnuti: neni SSL od zacatku do konce => neni bezpecnost.