Zerosquare (./3730) :
Tout ça est peine perdue. Tu peux mettre la meilleure UI du monde, les utilisateurs qui ne veulent pas faire attention ne feront pas attention. Ça fait des décennies que tous les admins système essaient de résoudre ce problème, et ils n'y sont pas arrivés, parce que ce n'est pas un problème technique mais humain.

Non, je ne suis pas d'accord. Un système bien conçu permet aux simples utilisateurs d'agir correctement.
Par exemple, pas mal de mes connaissances avec des iPhone/Mac utilisent le trousseau de mots de passe pour avoir des mots de passe robustes et différents sur chaque site.
Avant, ils utilisaient le même mot de passe simple sur tous les sites. C'est le changement d'interface qui a permis ce renforcement de la sécurité.

Godzil (./3731) :
Le chiffrement et le fishing n’ont aucun rapport. Tu peux avoir un site parlement legit qui a été hacké, et sert des pages de fishing tout en ayant un certificat 100% valide et 100% prouvant que le domaine est bien celui qu’il dit être. Https n’est pas fait pour l’identification d’un site web, c’est fait pour le chiffrement des échanges.
L’utilisation de certificats et de CA est uniquement pour essayer de limiter la casse avec les MITM comme l’échange de clé ne peux être fait de manière parfaitement sécurisée.

Si tu veux un moyen de prouver qu’un site et bel et bien celui qu’il prétend c’est autre chose que HTPS, il faut ajouter aussi une signature pour chaque page pour authentifier qu’elle est legit, et plein d’autre détails du genre.

Https n’est pas fait pour qu’amazon.com est bel et bien Amazon sur toutes les pages servies. (Ni meme que c’est bien Amazon) le certificats ne fait que dire « oui je suis fait pour fonctionner avec Amazon.com pas Google.fr

D'où l'intérêt des certificats avec validation renforcée ^^