Partendo dal presupposto che SSL serve sia per crittografare i dati che per garantire l'identità e la legittimità del sito web, nel caso in cui si fornisca un modulo di accesso su una pagina richiesta su HTTP essere evitato, anche quando viene pubblicato su HTTPS?
La domanda si riferisce a un post che ho scritto ieri sul Who's who di cattive pratiche di password e alcuni dei feedback che suggeriscono che non vedere visibilmente il certificato rappresentato nel browser prima dell'autenticazione andava bene se effettivamente il modulo pubblicato in modo sicuro.
A mio parere, questo vende SSL breve in quanto non solo perdi la capacità di convalidare la legittimità del sito prima di consegnare le tue credenziali, ma non hai la certezza che sia pubblicazione su HTTPS. Sono consapevole che Twitter e Facebook accettano questo approccio, ma dovrebbero? Sto trascurando qualcosa qui o è una pratica che dovrebbe essere scoraggiata?
Aggiornamento: ho finito per descrivere l'esito di questa domanda e la successiva discussione nel post del blog SSL non riguarda la crittografia