Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od null null - @Filip Jirsák Asymetrická kryptografie sama o sobě neověří že...

@Filip Jirsák

Asymetrická kryptografie sama o sobě neověří že jste to skutečně Vy, jenom že někdo posílá něco zašifrované vaším klíčem - což přenáší problém na uživatele který má běžně problémy i nastavit si silné heslo, jak už jsem psal a jak je běžně prokazováno - a pokud server zveřejní to co jste mu poslal (ten váš "podpis" užitím asymetrické kryptografie) jako to heslo, máte zhruba stejný problém - ano, můžete si handshakovat nový key, jenže ten se nebrání MITM (takže tak i tak potřebujete zabezpečení přenosu) a nepotvrzuje vaši identitu - něco stejného jako jste tu argumentovat u elektronických občanek. A pokud zabezpečíte přenos, můžete klidně posílat heslo a nemusíte se otravovat s certifikátem.

Ok, můžete přesunout odpovědnost na klienta, v podstatě obdoba SSH, pak ale začnete na uživatele klást pro ně bohužel absolutně nesrozumitelné požadavky. Pokud to přenecháte jakékoliv prostřední autoritě, jste tam kde s bezpečností klientů na hesla a problémy Certifikačních autorit.
S HTTP Digest sice přenesete odpovědnost ze serveru, ale naložíte ji na běžného klienta a opravdu si nevsadím jestli je to dobrý krok, protože denně můžeme číst o tom co všechno dělají běžní uživatelé špatně. Ale ano, můžete se pak v odpovědích vysmívat uživatelům že je to jejich problém. To by pak šlo.

Svůj komentář jste vyplýtval na rádoby poučné, spíš výsměvné, poučení o základech asymetrické kdryptografie (což je vlastně stejně nedostatečné a válí se na kdejaké wikipedii) ale k tomu jak skutečně vyřešíte jste nenapsal zhola nic, jenom popsal řešení které přenáší odpovědnost někam jinam, IMHO na slabší článek řetězu - IMHO je jednoduší vyškolit správce serverů a programátory v bezpečnosti než běžné uživatele. Ale možná to vidíte jinak ...