<!–texy–>[5]: pak ale potřebuješ certifikát „s hvězdičkou“ a jednotlivé weby jsou umístěné v poddoménách, nebo se uživatelům zobrazí varování o tom, že certifikát přísluší jiné doméně, než na kterou přistupuje – ale i to je lepší než nic (uživatel si jednou přidá výjimku a pak má jistotu aspoň v tom, že přistupuje pořád na ten samý server).

Naštěstí tenhle problém řeší IPv6 :-)

IMHO ale hlavním důvodem k nepoužívání šifrování je lenost administrátorů – např. v jedné nejmenované státní instituci používají pro přístup k poště zaměstnanců nezabezpečený IMAP a hesla létají pěkně vzduchem v otevřeném tvaru. Přitom i ten pitomý samopodepsaný certifikát by udělal velkou službu. Nic to nestojí a jsou to dva řádky v konfiguráku Dovecotu.

<!–texy–>Dundee: to se mylis, na serveru na kterem bezim ja to mame rozjete s jednou IP. (Asi mame sikovneho linuxaka :-)

<!–texy–>WPA/TKIP uz je taky de-fakto "ze hry". Viz http://airdump.cz/tkiptun-ng-prvni-implementace-utoku-na-wpa-tkip/ nebo http://download.airdump.net/data/ebooks/802.11/Breaking-wep-wpa.pdf a PoC tkiptun-ng

<!–texy–>Myslím, že další dost závažný důvod, proč se často nepoužívá SSL, je, že doména pak nejde hostovat jako VirtualHost, ale musí mít samostatnou veřejnou IP adresu. A ty už dnes také nejsou úplně zadarmo…

<!–texy–>[1] To se vůbec nevylučuje. Co se týká návaznosti na Session Fixation a na přegenerování SID po změně oprávnění, na to si nechávám celý zvláštní článek.

<!–texy–>Rada pro nenastavování SID přes přesměrováním na HTTPS je samozřejmě správná, ale argumentace s tím spojená je poměrně chabá, protože SID je po přihlášení stejně vhodné změnit kvůli útoku Session Fixation. Hlavní nebezpečí se týká už přihlášených uživatelů, jejichž SID je nejcitlivější.