Heh? A to je čo zas za hlúposť? Veď to, že stránka stiahnutá cez http:// keď obsahuje type=password, ešte vôbec nič nehovorí o tom ako či sa vôbec heslo prenesie nešifrovanie alebo nie.
A taktiež to nič nehovorí o tom či stránka dostupná cez https:// obsahujúca type=password náhodou nepošle ten formulár cez http://
I kdyby autor stránky chtěl, aby se ten formulář odeslal přes HTTPS, může to útočník změnit, pokud je formulář nahraný přes HTTP. Proto je to problém.
V případě webu vždy důvěřujete provozovateli toho webu. Pokud by chtěl vaše heslo poslat někam jinam, může si ho klidně nechat poslat přes HTTPS na svůj server a teprve z něj poslat někam dál. Navíc prohlížeče dnes myslím varují v případě, kdy je formulář načten přes HTTPS ale data by odesílal přes HTTP.
Takže jestliže na stránce http://supersajta.xyz je formulář s odesláním na https://supersajta.xyz, je tam riziko, že si to dotyčný chce poslat někam úplně jinam?
To mi moc nepomáhá. Když jsem na určité sajtě a odesílám si dobrovolně formulář s přihlašovacími údaji na tu samou sajtu (v HTTPS verzi), přece počítám s tím, že provozovatel té sajty ty údaje dostane a nepotřebuje na to ani JavaScript, může si to klidně i vytisknout a pak poslat faxem nebo poštovním holubem kam chce a kolikrát chce. Pokud se na jeho stránce objeví nebezpečný JavaScript třetí strany, tak to má ten provozovatel dost těžký problém a jeho uživatelé taky.
Řekl bych, že jste v diskusních vláknech poněkud vykolejil. Pokud jste na HTTPS stránce, předáváte zadané heslo provozovateli daného webu a musíte mu důvěřovat, že s ním nebude nakládat špatně. Pokud jste na HTTP stránce, předáváte to heslo potenciálně komukoli, kdo tu stránku dokázal během přenosu modifikovat. Proto je to druhé problém a proto bude v takovém případě Firefox uživatele varovat.
Je to paranoidní asi stejně jako odmítání certifikátů podepsaných neznámou autoritou. Pokud na to člověk rezignuje, pak je zneužití asi stejně náročné. (Tzn. relativně jednoduchého, jakmile má útočník přístup k síti.)
Mimochodem, nepovažoval bych za důvěryhodnou ani domácí síť, protože:
* děravé routery
* automatické připojení ke známým Wi-Fi (vizte např. Pineapple)
* ostatní zařízení v síti se mohou stát útočníky (stačí malware)
* případné slabé heslo k WPA2 lze louskat offline (Podmínkou je odposlechnutí iniciálního handshake, což jde jednoduchým trikem vynutit i u připojeného zařízení.)
Kvůli paranoidním scénářům se HTTPS používá… Určitě jste zaznamenal, jak velké množství je různých děravých domácích routerů. Takový děravý router má minimálně dvě možnosti, jak takový scénář realizovat – buď může přímo měnit procházející HTTP komunikaci, nebo jednoduše změní DNS odpovědi a přesměruje uživatele rovnou na útočníkův server.