Milleks konfida serverit, kui kasutaja võib ümber nurga minema õpetada?

Sattusin külastajate statistikat vaatama ja leidsin, et riigihangete keskkond õpetab kasutajaid brauserit konfima (lühikestest urlidest nad ilmselgelt kuulnud pole). Seda olukorras, kus ajavahemikus eelmise aasta juulist tänaseni on eesti.ee, sk.ee ja pilet.ee suutnud olukorra lahendada nii, et kasutaja ei pea täiendavaid seadistusi lehe kasutamiseks kaasaegses kasutaja turvalisuse eest muretsevas brauseris tegema.

Jääb ainult üle loota, et nad teavad, mida teevad, ehk et nende serverid kasutavad turvaauguta protokolli. Vastasel juhul võimaldab selline konfimine edukat MITM-rünnakut. Ja põhimõtteliselt, miks peavad kasutajad (kümned-sajad või palju neid riigihangete keskkonnal on) seadistama erandeid, kui endast lugupidavad lehed on suutnud olukorra ära lahendada kasutajat tülitamata. See tähendab siis kõik ID-kaardiga minu poolt kasutatavad lehed peale emt.ee. Kusjuures näiteks Swedbanki lehe puhul ei ole ma seda veateadet kunagi näinud.

Ühtlasi ma loodan, et nende kodulehel olev tekst

Kuna Rahandusministeeriumi infosüsteemidele kehtivad rangemad nõuded, on Mozilla Firefox uue versiooni 4.0 kasutajatel vajalik Riigihangete registrisse ID-kaardiga sisenemiseks oma arvutit pisut eelnevalt seadistada.

on oma tähenduses totakas kommunikatsiooniprobleemide tõttu tehniliste ja lehte administreerivate inimeste vahel. Sest praegu jätab see küll mulje nagu see konfimine oleks vajalik lehe turvalisemaks kasutamiseks. Tegelikkuses võib see potentsiaalselt lausa ohtlik olla.