Dnes som si pri prihlasovaní na portál Pokec.sk patriaci pod AZet.sk (http://azet.sk/) všimol zaujímavej vychytávky. Pod poľom pre heslo všimol link s textom Prihlásenie bez SSL čo vo mne samozrejme vzbudilo dojem, že štandardne sa prihlasujem cez SSL a bez zabezpečenia sa prihlásim po kliknutí na uvedený link.
Voľným laickým okom sa dá SSL spojenie detekovať tak, že adresa bude začínať ako https://
a nie štandardné http://
. Ak by som mal byť presný tak tak použite protokolu SSL (Secure Socket Layer) je jednou z možností šifrovania, tou druhou je TLS (Transport Layer Security) protokol. Štandardne sa používa TCP/IP port 443. Obe prihlásenia používajú obyčajný http://
protokol čo samozrejme môže ľudí zavádzať, nakoľko majú pocit že sa štandardne prihlasujú „bezpečným“ spôsobom. Ešte pridávam odkaz na archive.org z augusta tohto roku, že link bol pridaný nedávno. Mám skôr pocit, že šifrované spojenie ešte nestihli implemetovať.
Doplnené: takže Pokec.sk už teraz skutočne prihlasuje užívateľov cez https://
, vyplnené informácie sú odosielané na server. Jeho certifikát však nevidíte – komunikácia naďalej prebieha nešifrovane.