Прошу обратить внимание. Сперва Торвальдс называет кого-то "Masturbating Monkey". Вчера он назвал пользователей Digg "Wanking Walruses". Учитывая, что это происходит в контексте придумывания новой схемы именования версий ядра... ясно, к чему клоню?
После того, как введут и проверят пароль, будет сессия передаваться в куках. Заполучить её, конечно, несколько хуже, чем пароль, но тоже сойдёт.
Короче, в технической части мы, вроде, сошлись, а все уступки в безопасности, как Шнайер говорит, субъективны.
А потом тот, кто слушает трафик тупо возьмет куки сеанса и привет. :)
А ещё возможность подмены ключа через MITM (он же ничем не заверен). Можно много чего придумать, наверное, и в результате мы придём к реализации SSL на JS :)
Давайте воспользуемся бритвой Оккама: если есть чего защищать, то SSL. Если нет средств на SSL - нечего защищать.
Если бы ещё обозначения аккордов подписывались, где актуально, было бы совсем здорово.
В принципе, можно поиграться с параметрами скрипта http://www.mikeonads.com/gender/analyze.…(тут список сайтов) и выяснить.
В LinkedIn и в Pulse тоже предлагают контакты из GMail/Yahoo/etc проимпортировать.
Запоминание многих паролей - это да.
Короче, в технической части мы, вроде, сошлись, а все уступки в безопасности, как Шнайер говорит, субъективны.
А ещё возможность подмены ключа через MITM (он же ничем не заверен). Можно много чего придумать, наверное, и в результате мы придём к реализации SSL на JS :)
Давайте воспользуемся бритвой Оккама: если есть чего защищать, то SSL. Если нет средств на SSL - нечего защищать.