>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
> Вы имеете в виду (возможный) выпуск левых сертификатов?

да.

> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
> Напрашивается аналогия с правилами дорожного движения.

нет, не напрашивается. дырка в системе мало того, что известна, но и была успешно использована. на публике. и не починена. а это автоматически означает, что уровень безопасности системы — нулевой.

> Кто ж захочет поумнеть, до «граблей»?
> Человеки именно так и воспитываются.

да вот не хотят. я, например, тут уже сколько толкую, что безопасность https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи). ан нет, не доходит.

>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>> Весьма простое решение.
>> (умилительно) офигенное «секурити».
> Что не так?

всё не так. sms нельзя считать довереным каналом передачи даже если хорошо накушаться веществ. а «otp-модули»… только после аудита квалифицированой незаинтересованой стороной (если я верно понял, что подразумевается).

> Нормальное решение для двухфазной аутентификации.

нормальное. а надо — хорошее.

> Даже в теории вероятности
> допускается, что произведение двух маловероятных событий считается событием невероятным.

я очень рад. то, что конкретно меня может сбить конкретная машина с конкретным номером в конкретное время — очень маловероятно. невероятно, фактически. однако если это произойдёт, я мало утешусь тем, что случилось «невероятное событие».

> Я не очень сложно объясняю?

нормально. для уровня человека, который о security слышал краем уха.

> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок от сигнализации.
> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по
> граблям.

я думаю, владелец машины будет просто в восторге от того, что когда у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация таки визжала. как его от этого защитит носимый с собой брелок?

> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки
> больше.

и поэтому мушину можно бросать где угодно: сигнализация же защитит!

> SPDY тоже пока не поддерживается

интересно, а зачем тогда в about:config опции со словом «spdy»? в частности, например, network.spdy.enabled?

> Вы поставьте себя на место провайдера услуг. В том-то и дело, что
> забота о безопасности — это прежде всего его забота, а уж
> потом клиента.

нет. в такой ситуации ни о какой безопасности речи идти опять не может.

> Клиент может просто следовать в русле, заданном поставщиком услуг.
> Или отказаться от услуги.

только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности ставит не на первое место и не думает об этом сам. увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего хорошего не получится.

>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
>> безопасность.
> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.

верно. но это ни разу не является причиной считать безопасным то, что уже как минимум два раза публично облажалось, и не подверглось с тех пор никакой починке.