Vlákno názorů ke zprávičce Proč nemá Policie České repubiky na webu HTTPS? od Mlocik97 - abych uprednostnil tak s "HTTPS by mělo být...

abych uprednostnil tak s "HTTPS by mělo být všude" nesúhlasím... kdyby tam bylo "takmer" tak áno. Ovšem u statických stránok, ktoré iba zobrazujú dáta, majú nulovú interakciu s uživatelom, a nezbierajú žiadne dáta, nieje HTTPS nieje nutnosť. Ovšem súhlasím že HTTPS by malo byť všade tam (a je to morálna nutnosť), keď stránka zbiera nejaké dáta, zaznamenáva interakciu uživatele, alebo proste vždy keď zobrazuje data ktoré sú určené len pre konkrétneho človeka alebo konkrétnu skupinu ludí (nie pre všetkých) [samozrejme v takom prípade je nutná autentifikácia, čož automaticky znamená že je stránka musí zbierať dáta, čož znamená že by tu HTTPS malo byť]...

Tak tady mi chybi rozdil mezi signaturou a kryptovanim dat. Statickou stranku si umim predstavit podepsanou, tz. mam identitu, ale nepotrebuju pristpu k ni kryptovat...

Ja souhlasim s tim "temer", ale v jinem smeru. Chtel bych, aby to prohlizece neresily a nechaly normalne fungovat HTTP (vcetne formularu) pri zadani IP v lokalnim rozsahu. Mam ve vnitrni siti nejaky cidla apod. Nikdy se HTTPS nenauci (maji reportovat kazdych 5s, ale jejich HW potrebuje 12s na vypocitani handshake nebo co to tam pocita).

Už jen to, jaké stránky navštěvuješ, nebo aktualizace jakých programů si stahuješ, je důvěrná informace, která si zaslouží ochranu. A není jediný důvod, proč by do toho měl koukal kdokoli cestou – ten má jen přenášet pakety a neřešit, co je uvnitř.

stránka != doména

Např. se ví, že čteš Wikipedii, ale neví se, jaké stránky si na ní čteš.

Samozřejmě, že i překlad domén a výběr certifikátu (SNI) by zasloužil ochranu, ale to neznamená, že by se na to mělo rezignovat úplně a nepoužívat HTTPS resp. šifrování obecně.