Názor k článku Postřehy z bezpečnosti: všechny prohlížeče opět pokořeny od Filip Jirsák - Ty tajné linky snad vedou na weby s...

Ty tajné linky snad vedou na weby s HSTS (které explicitně říká, že se má použít HTTPS). Náhlý downgrade je dnes možný, pokud web nepoužívá HSTS – a ty tři hlášky v prohlížeči na tom nic nemění. Podle mne by naopak měl mít i uživatel možnost (v čistém prohlížeči, bez nějakých doplňků) označit nějakou doménu, že k ní chce přistupovat pouze přes HTTPS (třeba tím, že si přidá odkaz s https do oblíbených). Obrana proti náhlému downgradu spočívá v tom, že ho prohlížeč nedovolí bez souhlasu uživatele – a že ten souhlas bude vyžadovat skutečně jen v nutných případech.

Hlavně doufám, že mixed content a downgrade se brzy vyřeší protokolem HTTP/2.0 bez podpory nešifrované verze v prohlížečích a podporou DANE.