<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Jul 31, 2014 at 2:00 AM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=iang@iang.org&cc=&bcc=&su=&body=','_blank');return false;">iang@iang.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">No, you're prioritising an active attack as more frequent and more<br></div>
harmful than a passive attack.<br></blockquote><div><br></div><div>Sure, passive data collection is a big problem too, but these systems offer "security" when they aren't being attacked. It's trivial for anyone with a privileged network position (e.g. your barista) to attack them.</div>

<div><br></div><div>Simply using https:// would prevent many active attacks. It isn't a lot of effort to implement... certainly a lot less than hand rolling a bunch of JS crypto.</div><div><br></div><div>Some of these sites are arguing that they're *more* secure by *not* using https o_O</div>

<div><br></div></div>-- <br>Tony Arcieri<br>
</div></div>