Комментарии 8
Помню, у одной российской компании, предоставлявшей в том числе платные услуги электронной почты (это было наверное где-то в середине 2000-х), страница аутентификации была доступна исключительно по незащищённому HTTP, сами логин и пароль потом отправлялись по защищённому соединению, но технически страницу с формой для ввода логина и пароля возможно было подменить на промежуточном узле и в итоге узнать пароль пользователя. Написал им, в точности ответ не помню, но смысл был такой, что им по каким-то причинам приходится так делать. Может конечно причина была не в необходимости обеспечить возможность перехвата паролей, может у них система была как-то криво сделана или настроена...
Из историй "успеха" помнится история МосМетро, когда там данные пользователей в голом виде передавались. Щас оно тоже ходит, но уже в обфусцированном виде, но все также незащищённое. Ещё где-то на хабре была похожая история, где человече порвался в какую-то провайдерскую админку похожим способом и мог манипулировать своим интернетом. Провайдер, после репорта, конечно поправил это дело спустя пару тыщалетий и даже каких-то бонусов предложил в итоге.
это было наверное где-то в середине 2000-х
А тут точно ошибки нет? Потому что в середине 2000х использование HTTP не было чем-то удивительным, подавляющее большинство сайтов вообще не использовало HTTPS.
Apple всё ещё следит за вами. Без вашего согласия