Pánové z Xzone už dlouho uvažují o nasazení HTTPS, ale pokaždé jim do toho něco vlezlo? Pan Schovanec si asi dělá legraci. HTTPS by mělo být samozřejmostí u všech stránek natož u eshopů, kde se pracuje s osobnímy údaji a jinýmy citlivýmy daty.
Výmluvy, že Xzone není Alza a nemá desítky programátorů jsou vyloženě trapné. Na nasazení HTTPS rozhodně není potřeba desítky programátorů. Samotné nastavení webserveru a získání DV certifikátu se dá stihnout do půl hodiny. Větší výzva je vypořádat se s mixed content (na vašich stránkách by jediný problém představovala ta reklamní srajda od Seznam.cz, jinak jsou externí zdroje dostupné přes i HTTPS) a naučit redakční systém HTTPS. Zde záleží na tom, jak dobře ho máte napsaný, ale opět by to neměl být výraznější problém, pro 2 až 3 lidi je to práce do týdne zvládnutelná se vším všudy.
Motivaci pro nasazení HTTPS, tedy vstřícný krok vůči zákazníkovi, moc nevěřím. Spíš pánům z Xzone teče do bot kvůli tomu, že Google Chrome počínaje lednem příštího roku bude označovat stránky bez HTTPS a s přihlašováním jako nebezpečné a bude zobrazovat varování podobné tomu, na jaké jsme zvyklí při chybě TLS spojení. To jen ukazuje, že HTTPS je na Xzone nasazováno za 5 minut 12.
Potom mě také šokovalo tvrzení, že chyba v provizním systému umožnila únik zákaznických údajů. To by se nestalo pokud by byly databáze pro login odděleny od databáze s uživatelskými údaji a obě dvě databáze odděleny od ostatních databází.