Suponiendo que su red local sea segura, el script / chaval / pirata informático promedio con recursos mínimos no podrá conectarse a la conexión, incluso cuando use HTTP sin cifrar. Eso no significa que el uso simple de HTTP sea seguro. Sus datos aún podrían ser capturados y registrados o modificados libremente por:
- Su ISP y su propio gobierno
- ISP y gobiernos en los países a través de los cuales se enruta su tráfico
- Cualquier persona capaz de lanzar un ataque de secuestro de ruta BGP
Y, por supuesto, cualquiera de los anteriores podría compartir los datos con terceros de su elección, o incluso darles acceso directo a su tráfico de red.
Algunos ejemplos:
Se sabe que algunos ISP inyectan JavaScript en páginas HTML. Esto podría ser publicidad o seguimiento adicional, o notificaciones personalizadas como en el caso de Comcast recientemente.
Vivo en Finlandia, y gran parte del tráfico de Internet de Finlandia se enruta a través de Suecia. En 2009, Suecia aprobó una ley que permite a la agencia de inteligencia sueca FRA monitorear todas las conexiones de Internet que cruzan la frontera. Esto significa que Suecia es tanto técnica como legalmente capaz de usar la vigilancia masiva en usuarios de internet finlandeses. También se ha informado que FRA coopera estrechamente con NSA y GCHQ, y es probable que compartan datos.
En 2013, la compañía de software de vigilancia Hacking Team orquestó un secuestro de BGP en cooperación con el gobierno italiano y una empresa de alojamiento. Podrían utilizarse fácilmente secuestros de ruta similares para acceder a las conexiones HTTP desde cualquier parte del mundo. Secuestros BGP o "fugas" no son raros. La cuenta de Twitter @bgpmon , entre otras, rastrea e informa sobre este tipo de eventos. A menudo, los eventos se atribuyen a errores de configuración y errores humanos, pero en la mayoría de los casos no es posible saberlo con seguridad. Muy a menudo, los culpables son proveedores de servicios de Internet individuales en China o países similares, y no hay garantía de que los proveedores de servicios de Internet en sí no fueran el objetivo de un pirateo.
Además de la seguridad, hay otras razones para usar HTTPS. SPDY y HTTP / 2, que son nuevas versiones de HTTP con menos sobrecarga, solo son compatibles con TLS en la mayoría de las implementaciones. Muchas tecnologías web de JavaScript también están disponibles solo para sitios web HTTPS, por ejemplo, Trabajadores de servicios y la API de ubicación.