Исходное сообщение
"Проект Mozilla заявил о намерении отказаться от незащищенног..." Отправлено Xasd, 01-Май-15 18:52
> Дурость. В HTTPS нет никакого реального смысла, потому что для установки соединения > используются сертификаты, выданние неизвестно кем неизвестно кому. > Кто-нибудь видел хоть одного бухгалтера, который, открыв в броузере сайт по HTTPS, > сверял бы фингерпринт сертификата с распечаткой в договоре? да, HTTPS сам по себе довольно-таки бесполезен, если НЕ использовать HPKP (HTTP Public-Key-Pinning). а вот если web-сайт *использует* HPKP -- то малочисленные фэйлы сертифицирующих служб -- имеют сильно *низкую* вероятность к успешной злонамеренной эксплуатации на практике. [[злонамеренная эксплуатация будет успешной (при HPKP) -- если человек зашёл на сайт в первый раз и именно по случайному совпадению сразу же в этот же первый рез и оказался под давлением MitM-атаки]] то есть -- нужно не забывать что процес получения валидного сертификата -- сопровождается генерацией секретного ключа на стороне разработчика, и это секретный ключ НИ КАК НЕ попадает к сертифицирующей стороне. этот факт как раз и позволяет применить HPKP. злоумышленник просто *физически* не сможет изготовить "поддельный" сертификат с таким же отпечатком ключа, как наш валидный сертификат, даже при полнейшем фэйле сертифицирующей службы. и даже, если сама "сертифицирующая служба" как раз и является злоумышленником :) ... так что этих воплей паникёров -- я не понимаю.. кому нужен безопасный HTTPS -- используют HPKP для своих web-сайтов .. а кому НЕ нужна безопасность -- ну значит не нужна.. :-)