Что вам дал переход на https?

Пользователи бывают разные. Когда Я из кафе через WiFi захожу в свой банк в личный кабинет, то я сверяю сертификат. Остальным может и пох. С https я МОГУ проверить полинность сервера. Без https - НЕ МОГУ проверить.

Никогда не рискую заходить их публичных wifi в ЛК банка. В https тоже находили уязвимости - а о скольких мы еще не знаем?

Вы молодец, что перестраховываетесь, не то, что супруга Lord Maverik ;)

У нас в семье в использовании 2 банка. АльфаБанк и Сбербанк. У обоих есть свое приложение для Android.

Теперь расскажите мне плз, как вот неразумному обывателю, как мне проверить мое приложение оно http или https? На что обратить внимание?

Рекомендую отказаться от использования приложений для Android. Т.к. они нивелируют смысл двухфакторной аутентификации, если СМС подтверждения операции приходит на то же устройство.

Ну такими темпами мы придем к предложению отказаться от интернета, и ходить в банк пешком. А вдруг ограбят по дороге. Блин....

Необязательно. Вы можете использовать отдельное устройство для генерации одноразовых паролей (OTP-Token), тогда нормально, если приложение это поддерживает. Остается узнать только, как приложение работает в недоверенных сетях - если у банка есть сертификат PA-DSS на него, то специалисты его уже проверили. Если нет - то на ваш страх и риск. Я лично предпочел бы браузер всё же или провел бы аудит приложения самостоятельно ;)

P.S. Приложение Альфабанка было разработано вот этими ребятами: unrealmojo.com/ru/index.html а это значит что сертификат PA-DSS должен быть, узнайте. Я для интереса глянул приложение альфы и я его не стал бы использовать в недоверенных сетях, несмотря на то, что оно действительно работает через https (не увидел поддержки certificate pinning, хотя может плохо посмотрел).

Всем, кто перешел - пор пирожку с повидлом и банке сосаслолы!

Что, посмотреть в выдачу - совсем никак?

Нет преимуществ, одни убытки. Выше уже давал ссылки на объяснялки.

Почти так, но опять повторюсь

1. 99% Юзерам плевать, какого цвета цвета адр. строка. Но не плевать на сообщения о проблемах с сертификатом.

2. 100% контентным сайтам не нужна никакая секурность.

3. Безопасность, сохраность контента и тп - всё очень не однозначно.

И одно из главных для вебмастеров:

4. Сайт без сертификата будет спокойно себе жить и радовать как пользователей, так и владельца и реклов (чит: приносить доход), даже если владелец (временно) потерялся и/или забил на сертификат.

В сухом остатке - https нужен только в особых случаях.

В контексте данного раздела и топика - это больше зло, нежели добро.

Я для таких случаев всегда поднимаю VPN на свой домашний маршрутизатор.

---------------------------------------

Работать без https через публичный WiFi - полный ссзб.

У полуграмотных полутехнарей в голове прочно засел миф, что https нужен только на странице авторизации.

Плагин Firesheep наглядно демонстрирует насколько ошибочны подобные подходы и насколько легко провести Hijach атаку.

Идеальным местом для подобных уловок являются кафе с бесплатным общедоступным WiFi доступом в интернет.

<frameset rows="10%,90%">

<frame src="ужасная реклама.html" name="top">

<frame src="https://супер зашифрованный сайт.ru" name="bottom">

</frameset>

---------- Добавлено 07.05.2015 в 16:28 ----------

Так мало кто делает.

Классические вставки и подмены тоже можно закрыть.