Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Vít Šesták - > Já bych se spokojil i s řešením...

> Já bych se spokojil i s řešením založeným na klasických heslech, kde by prohlížeč neposílal heslo v otevřeném tvaru ani jeho ekvivalent. Uživatel by tím pádem mohl docela bezpečně používat všude stejné heslo, pokud by bylo dost silné na to, aby odolalo útokům hrubou silou.

To v principu zní jako stateless password managery. Má to několik nedostatků řešitelných více či méně klasickými stateful password managery:

* Jak zmiňujete, heslo musí být silné, aby odolalo bruteforce. Bez toho po leaku jednoho hesla na mě může kdokoliv udělat offline útok.
* Nelze změnit heslo jen na jedné službě. Docela se to hodí po leaku.
* Nelze sdílet jen část přístupů. Na firemním počítači může zaměstnanec chtít třeba GitHub (vývojář), LinkedIn (HR), dopravce nebo hudební službu. Přitom ale pochopitelně nechce všechny dát firemnímu počítači bšechny přístupy.

> Existují i API pro správce hesel. Má to Android, má to iOS.
> Desktop má pořád ještě na webu docela silné zastoupení.

Ano, ta API dnes neřeší všechno. Ale ukazují, že nejde o principiální problém.

> Nefunguje. Jaký je podíl uživatelů, kteří používají správce hesel, a navíc ho používají správně – tj. používají unikátní generovaná hesla?

Statistiky nemám. Pro obojí ale bude cca stejná cílová skupina. Password manager dnes může použít kdo chce na skoro kterékoliv stránce, heuristikám navzdory. Pokud byste vytvořil nový protokol, na jeho reálné nasazení na podobném počtu webů si počkáte. Za pět let by to IMHO bylo stále dost omezené.

> Některé weby ještě ani nemají implementován HttpOnly session cookie.

Httponly je pěkný způsob, jak v případě XSS zabránit ukrad… Teda on si útočník může z oběti udělat proxy a stejně udělat, co potřebuje, až tak velké omezení to reálně není. Byť v rámci principu least privilege je dobré httponly zapnout, kde to jde.

> Nepřipadá mi, že by tlak prohlížečů na zavádění HTTPS byl neúčinný.

Ten tlak nezačal od píky. A zejména negativní motivace se začíná objevovat až v posledních letech, kdy si to prohlížeče mohou dovolit. To se netýká nového způsobu autentizace.

> Nepřipadá mi, že by tlak prohlížečů na zavádění HTTPS byl neúčinný. Nebo tlak na to, aby se přestaly používat SHA-1 certifikáty nebo staré verze SSL a TLS

Nepřipadá mi, že by se to tlačilo podobným způsobem ve chvíli, kdy to používala drtivá většina webů. Tady začínáte od píky.

> Varování při odeslání formulářových dat přes HTTP měl už Internet Explorer 4.0.

OK, ale to varování, které tak 99 % lidí odklikne bez rozmyslu asi nechcete dávat za vzor, že ne?

> Nebo by prostě stačilo v políčku pro heslo maskovat vstup

Jakože by se políčko pro heslo zobrazilo na webové stránce? Webová stránka má dnes možnsoti jak něco takového napodobit, pak by bezpečnost používání jednoho hesla šla do kytek…