Vlákno názorů k článku Postřehy z bezpečnosti: podporujte svobodný internet od Filip Jirsák - <blockquote>66% uživatelů naprosto ignoruje varovná hlášení o SSL...

BFU to ale typicky sam nepozaduje - nahodou si to banka alebo Google vypyta, tak to ma. Ked klikne na odkaz s https, tak to ma tiez. Ale zadavat niekam https? Ked to ma farby a logo banky, tak to musi byt banka.

Banky tomu nepomahaju - pri platbe kartou CSOB ma clovek zadavat sms kod na nejakom (tusim) acs.sia.eu. Vsak to ani tak nikto nekontroluje a keby tam bolo freehosting.e­xample.com, tak tam kod ludia ochotne zadaju.

S acs.sia.eu je prusvih jeste v tom, ze to neumi nic jineho nez RC4, transakce se nepovede a neni vubec jasne proc.

Další oblíbený důvod proč platební brány v tichosti bez varování selhají bývá vypnutý referrer. Taky chvíli trvá než člověk zjistí čím to je.

BFU NIKDY nic necte a NIKDY cist nebude. KAZDY hlaseni je pro jen jen zcela zbytecnej vopruz.

Jak si predstavuju chovani pro BFU? Vlezu na web, ten pojede v ssl, a prohlizec se me (maximalne pri prvni navsteve) zepta, jak kriticky je pro me zabezpeceni (malo, stredne, hodne).

Ulozi si aktualni cert(hash) a pri dalsich navstevach jen kontroluje, zda odpovida tomu, co ma ulozeno, pripadne zda novy vydala stejna autorita (kterou si taky ulozi az pri prvni navsteve) ... a TEPRVE kdyz neco z toho nesedi, TAK (v zavislosti na predchozim vypnutelnem dotazu) ZARVE.

V situaci, kdy prohlizec pinda na 80% webu, protoze kdo by si na nejaky diskusni forum porizoval cert za prachy, kdyz stejne dobre a daleko BEZPECNEJI poslouzi selfsigned ... to hlaseni VSICHNI zcela ignorujou. Naopak, o tom, ze lezou do banky, ktera se prokazuje jinym certifikatem jine "autority" nez minule se ani nedozvedi.

Jako bonus, pokud dotycny nahodou narazi na to, ze banka ma cert kuprikladu expirovany, tak kdyz tam zavola, se dozvi, ze "to proste odklipnete".