Suponiendo que SSL sirve para cifrar los datos y para garantizar la identidad y la legitimidad del sitio web, si la práctica de proporcionar un formulario de inicio de sesión en una página solicitada a través de HTTP se evitará, incluso cuando se publique en HTTPS?
La pregunta se relaciona con una publicación que hice ayer sobre Who's who de las malas prácticas de contraseña y algunos de los comentarios que sugieren que no ver bien el certificado representado en el navegador antes de la autenticación estaba bien si el formulario se publicaba de forma segura.
En mi opinión, esto vende SSL a corto, ya que no solo pierde la capacidad de validar la legitimidad del sitio antes de entregar sus credenciales, sino que también no tiene la certeza de que es publicación sobre HTTPS. Soy consciente de que Twitter y Facebook adoptan este enfoque, pero ¿deberían hacerlo? ¿Estoy pasando por alto algo aquí o es una práctica que debería desanimarse?
Actualización: terminé detallando el resultado de esta pregunta y la discusión posterior en la publicación del blog SSL no se trata de cifrado