Pokud to skončí předáním alespoň serverového certifikátu, tak HPKP nebo jiný postraní kanál opravdu netřeba (ten už vytvořila CA), pro detekci na klientu stačí když přihodí privátním klíčem podepsanej ten původní ECDH klíč.
Konkrétně HPKP bych se opravdu nepokoušel reinkarnovat, do věčných lovišť odešel naprosto zaslouženě (dlouhodobý DoS po kompromitaci serveru je dost nehezká věc)
DNS... v nějakém paralelním Vesmíru, kde mají plnohodnotný DNSSEC u všech domén, kde se DNSSEC ověřuje zásadně na klientu, tak by to mohlo nějak fungovat.
ad správci kteří nevěří svým lidem - pokud by se lidem "dalo věřit", tak není ransomware jednou z největších kyberhrozeb dneška, a zprávy o správcích, kteří svým lidem věřili se dost často dostanou i do mainstreamové televize.
V jiných oborech je naprosto běžné a každý chápe, že bezpečnost je třeba budovat komplexně, že lidé i technika dělají chyby a je třeba nejen minimalizovat samotné chyby, ale také jejich následky. (proč musí mít auta ESP, airbagy, proč se kolem silnic dávají svodidla... to tak nevěří řidičům? Přesto nikoho soudného nenapadne navrhnout Škodovce, aby místo aut prodávala vycházkové hole...
Proč musí být kolem díry na stavbě zábradlí, to se tak nevěří dělníkům že tam nespadnou? příkladů jsou mraky).
A že mají bezpečnostní složky smůlu je celkem naivní představa, i kdyby bylo na jednom IPčku těch webů několik desítek, tak nemyslím že bude nějaký větší problém s celkem obstojnou pravděpodobností odlišit kam kdo leze třeba jen na základě analýzy velikosti a timingu paketů.
(a to i bez oblíbených 3rd party scriptů, které se tahají panbůvíodkud, nebo reklam)