Názor k článku První krok: Chrome začal upozorňovat na weby bez HTTPS od Michal Pastrňák - Tak jsem to celé přečetl a trochu bych...

  • Článek je starý, nové názory již nelze přidávat.
  • 8. 9. 2016 8:45

    Michal Pastrňák

    Tak jsem to celé přečetl a trochu bych objasnil některé nesmysly, které se tu objevily.
    HTTPS nezabrání pasivnímu útočníkovi v zjištění, na které stránky koukám, protože tuto informaci získá z odchycených z DNS dotazů. Sice nemusí zjistit, kterou stránku si kdo prohlíží konkrétně, ale v případě jednoduchého prezentačního webu je to jedno.
    HTTPS na jakémkoliv prezentačním webu není úplná zbytečnost, zabrání v pozměnění přenášených dat (pokud ovšem někdo nepřistupuje na http a nespoléhá se na přesměrování na https). Tímto útokem může být postižen jak provozovatel webu, tak potenciální zákazník, případně skautík - změnou údajů může být například poškozena pověst firmy, potenciální zákazník se na firmu vykašle, může dojít ke změně platebních údajů, na skautský webík může někdo přilepit "prosím zašlete mimořádný příspěvek na výlet 100Kč na účet..." možností je spousta. Míra rizika je sice v některých případech malá, ale script kiddies vládnou internetu a z "hacknutí" čehokoliv můžou mít radost.
    Nicméně si nemyslím, že nějaké barevné rámečky něco změní, je spousta neudržovaných webů, na které nikdo https nepřidá a přesto mají relativně slušnou návštěvnost a mají zajímavý obsah (typicky nějaké tutoriály, kterým se autor přestal věnovat). Snaha Googlu prosadit šifrování je sice chvályhodná, ale ne obtěžováním uživatelů, je potřeba to vtlouct do hlavy poskytovatelům obsahu - například nešifrované stránky postupně víc a víc znevýhodňovat ve vyhledávání, postupně dojít do stavu, kdy veškeré výsledky budou standardně https a k http se člověk dostane pouze přes varovný odkaz někde dole... To by myslím byl mnohem funkčnější přístup a k samotnému upozorňování na http prohlížečem bych přikročil až za pár let.