Quindi, ho cercato su vari siti web che non gestiscono di per sé le informazioni riservate, ma accetto i token di autenticazione dell'utente (cioè puoi creare account con loro e associare una e-mail / username con una password).
In particolare, ho verificato se implementano qualsiasi tipo di protezione per quanto riguarda questi token e ho trovato un numero inquietante di siti che semplicemente inviano questi token come dati POST in chiaro.
Molti siti crittografano, nonostante non gestiscano informazioni riservate. Altri siti equivalenti ai contenuti non disturbano.
Ne ho parlato con gli amministratori dei siti che ho trovato. Una politica cambiata. Alcuni non hanno risposto. Una volta usato l'argomento che molti altri siti non lo fanno, quindi non dovrebbe preoccuparsi, e potrebbe essere proibitivamente costoso.
Ovviamente, l'argomento dell'effetto "spettatore" è terribile. Ma dal momento che non ho i numeri e userò di default l'SSL, l'implementazione di questa funzionalità di sicurezza di base è davvero così costosa?
O, più specificamente, la sua argomentazione era che il suo sito non era abbastanza grande da farne valere l'investimento finanziario. È un argomento che ha senso?
- E, non strettamente importante, ma sono curioso -
È stata eseguita una ricerca su quante persone sono attente all'uso della password? Qualcuno ha mai messo uno sniffer vicino a un wifi pubblico e ha verificato se questo potrebbe essere un problema nella pratica per John Q. Public?
EDIT: Inoltre, relativo a quest'ultima domanda, non strettamente necessaria, ... Per fare uno studio conclusivo su questo argomento e trarre conclusioni realistiche, sembra che qualcuno dovrebbe rompere una serie di leggi, anche se sono state molto attente nel modo in cui hanno gestito i dati, e l'hanno usato per niente a parte il studia. Esistono attualmente delle strade in base alle quali questo tipo di ricerca può essere svolta in modo legale, controllato e responsabile?