Supondo que minha página não tenha SSL. Suponhamos os seguintes passos:
O usuário faz uma solicitação para minha página (vamos chamá-la de www.mypage.com ).
JS do lado do cliente cria um SYMMETRIC KEY .
JS do lado do cliente faz uma solicitação para minha página de back-end, solicitando a CHAVE PÚBLICA do meu servidor.
JS do lado do cliente criptografa a SYMMETRIC KEY que foi gerada anteriormente dentro da PUBLIC KEY obtida .
JS do lado do cliente envia os dados ENCRYPTED para o SERVIDOR.
O servidor descriptografa os dados recebidos.
O servidor começa a enviar/ler todas as seguintes informações criptografadas na CHAVE SIMÉTRICA gerada no PASSO 2.
JS do lado do cliente também começa a enviar/ler todas as informações criptografadas a seguir na CHAVE SIMÉTRICA gerada na ETAPA 2.
Pelo que sei, mesmo que o invasor esteja ouvindo todas as informações das etapas 1 a 8, ele não consegue descriptografar nada e o usuário está seguro.
Vocês concordam comigo? Estou correcto? Se sim, podemos assumir que o SSL nativo nos navegadores existe devido a páginas "mal escritas"?