Certyfikaty SSL itp na naszych stronach.
Czy HTTPS wszędzie musi być włączony?
    djbpm pisze:

    Widzę, że koledzy sobie podśmiechujki robią z podmiany ilości soli w przepisie na ogórki, a tu nie tylko treść może zostać podmieniona.
    Może zostać doklejony w locie jakiś złośliwy skrypt który się wykona w (dziurawej) przeglądarce.
    Możesz zostać przekierowany w inne miejsce niż prowadził link w który kliknąłeś, w tym możesz zostać przekierowany do pobierania innego pliku (np złośliwego) niż myślisz, że pobierasz.
    Może zostać doklejony złośliwy kod do pobieranego pliku .exe, którego ktoś później uruchomi i sobie zrobi kuku.
    Może zostać zmodyfikowany w locie plik pdf, na wersję ze złośliwym kodem, która w połączeniu z niezaktualizowanym klientem pdf może prowadzić do wykonania kodu na komputerze ofiary losu.
    Może zostać podmieniony nr konta w pliku faktura.pdf i zapłacisz za fakturę nie na to konto co potrzeba.
    Może się wydarzyć dziesiątki innych rzeczy, a ignoranci dalej będą narzekać że po co ten https???
    A sytuacja, gdzie login i hasło jest przesyłana przez sieć jawnym tekstem to jest absolutna kpina z bezpieczeństwa...
    Poza tym temat poruszany milion razy, niestety bez efektu dla tego forum...


...ale zgodzisz się, że te wszystkie wymienione ataki można przeprowadzić również wtedy gdy działa TLS.

Interpretacja wpisów w tym wątku zależy tylko od przekonania 'komu' i 'czemu' bardziej w tej chwili ufasz:

- właścicielowi/administratorowi serwerowni, w której stoi serwer (chmura, serwer na dyndnsie itp smutny )
- administratorowi i twórcy serwera i treści na nim
- twórcy oprogramowania wykorzystywanego na serwerze
- właścicielom wszystkich odcinków sieci (isp) / kable / studzienki / switche / routery / wraz z IXP na drodze pakietów danych do Twojego urządzenia,

- twórcom i producentom twojego urządzenia i wszystkich jego komponentów zaangażowanych w przetwarzanie i przesyłanie informacji.
- twórcom oprogramowania na twoim urządzeniu,

- dostawcom DNS z których korzystasz
- wystawcom certyfikatów (łał tu jest "bandżaj" ,))
- indexom i wyszukiwarkom w sieci (i tu...)

i w końcu:

- sobie, że treści do których dotrzesz sprawią, że w realnym fizycznym lub mentalnym i dot. Twojej świadomości, świecie wpłyną na Twoje działania niekorzystnie i możesz tego nie rozpoznać i nie umieć temu zapobiec.


hint "zero trust" , "root of trust"

Reasumując: nie nie neguję sensu starań o HTTPS, ale przy tylu innych klockach układanki nie można i o nich zapomnieć.







  PRZEJDŹ NA FORUM