15. října 2018 HTTPS, zámeček, šifrování, Forbes, Chrome

Ikoně zámečku 🔒, která označuje „zabezpečené“ stránky, se přisuzují různé kouzelné vlastnosti. Třeba to, že označuje jen důvěryhodné weby, které nezneužijí vaše hesla a data. Zámeček z prohlížečů postupně mizí a je to dobře. A proč vlastně?

Používáte webový prohlížeč Google Chrome? A už máte jeho novou verzi? Nejspíš ano, vyšla začátkem září, má číslo 69 a na první pohled ji poznáte: má kulaté rohy. Nejvíc je to vidět v tom místě, kde se zobrazuje adresa stránek, v adresním řádku. Chrome ho nazývá omnibox – protože už v něm nejde jen o adresu, zadáváte do něj také vyhledávací dotazy, z nichž některé umí rovnou i zodpovědět (zkuste: počasí, usd, kdo je prezident). Funguje také jako jednoduchá kalkulačka.

Zelená je tak akorát tráva

V levé části omniboxu je na některých stránkách zámeček. Najdete ho na Facebooku, Googlu, ve vašem bankovnictví, ale také na všech mých webech. Možná si vzpomenete, že vás na zámeček někdo kdysi upozornil, ale že zmiňovali zelený zámeček a že prý tak poznáte bezpečnou stránku.

Omnibox v Chrome 68

Omnibox v Chrome 68

Omnibox v Chrome 69

Omnibox v Chrome 69

Nepoznáte, ale k tomu se ještě dostaneme. Zpátky k barvám. Ten zámeček byl opravdu zelený, vedle něj byl nápis „Secure“ („Zabezpečeno“), to až v nové verzi Chrome zešednul. Jestli jste si zámečku doteď nevšimli a veškeré rady tak úspěšně ignorovali, tak si z toho vůbec nic nedělejte. Google, výrobce Chrome, se totiž ten zámeček postupně snaží udělat neviditelným. V některých dalších verzích prohlížeče zmizí úplně, bez náhrady. Zatím není známo kdy, ale mohlo by to být už příští rok. Ostatní prohlížeče budou Chrome pravděpodobně následovat. Co ten zámeček vlastně znamená a proč postupně mizí a proč je to dobře?

Odposlechy na náměstí

Internet byl v dřívějších dobách takové náměstí. Lidé seděli na lavičkách, povídali si a kdokoliv šel kolem, tak jejich hovor mohl zaslechnout. Když jste chtěli zmrzlinu, tak jste svému „poskytovateli zmrzliny“ dali svou platební kartu a požádali ho, aby vám dva kopečky přinesl. On zmrzku někde sehnal, zaplatil vaší kartou a zároveň si z ní údaje opsal, aby si mohl příště zmrzku kupovat sám a za vaše.

Já vím, přirovnání ze skutečného světa na ten internetový moc nepasují, ale zkuste si to alespoň trochu představit. Váš poskytovatel Wi-Fi nebo připojení k Internetu mohl vidět co si čtete, co komu posíláte, vaše hesla apod. Vše mohl také měnit. Takže když vám hodný Míša poslal jeho číslo účtu, abyste mu zaplatili ten dluh ze sobotní noci, tak ho „někdo“ po cestě mohl změnit a vám přišlo číslo účtu někoho jiného. Ten „někdo“ k tomu mohl přibalit reklamu na nějaký produkt, odkaz na stránku, která mu vydělá nějaké drobné, nebo taky třeba odkaz na stažení zákeřného viru. Vy jste ale neměli šanci poznat, že to poslal někdo jiný a ne Míša. Když se nad tím zamyslíte, tak to vypadá spíš víc jako džungle, než jako náměstí.

Podobné ikony zámečku a nákupní tašky na www.apple.com

Ikona zámečku vypadá skoro jako nákupní taška, kdo se v tom má vyznat

Ten zámeček znamená, že vaše informace a data tou džunglí cestují chráněná. Chrání je matematika v podobě šifrování. Technicky se tomu šifrování přenášených stránek říká HTTPS, kde to S znamená Secure. Pro lepší zapamatování můžete použít i alternativní význam: How To Transfer Private ShitStuff.

Úplně vás slyším, jak se chcete zeptat a odpověď je ne, zámeček nezaručí, že stránka, u které se zobrazuje, nezneužije vaše platební údaje, neprodá vaše hesla nebo že vám dodá zboží včas a že můžete věřit všemu, co se na té stránce píše. Zámeček se tak klidně může objevit u stránek s hloupostmi typu „země je placatá“ a znamená jediné: opravdu to na té stránce píší a nepřidal to tam nikdo během toho, co stránka tou internetovou džunglí cestuje k vám.

Zámečku jsme postupně začali přisuzovat skoro magické vlastnosti: třeba to, že stránka se zámečkem je prý důvěryhodná. Není, mizerové ten zámeček mohou dát o pár centimetrů jinam jako obrázek nebo si ho zkrátka taky pořídí. Tzv. HTTPS certifikát, díky kterému prohlížeč ten zámeček zobrazí, dá se sehnat zdarma.

Šifrování všude

Vysvětlit co ten zámeček znamená se nedá jedním nápisem „Secure“ nebo „Zabezpečeno“. Možná by tedy bylo vhodnější, kdyby takový nápis i zámeček zmizel úplně a prohlížeč místo toho upozorňoval spíš na ty špatné věci. Šifrování by mělo chránit veškeré stránky na webu a měli bychom to brát jako samozřejmost.

HTTP stránky finální stav: ⚠ Not secure | example.com

Ve finále budou všechny stránky na nešifrovaném HTTP označené červeným ⚠ Not secure (zdroj)

Prohlížeč by měl spíš označovat stránky, které šifrování nepoužívají. A to už také dělá. Stránky bez ochrany HTTPS jsou označené jako „Not secure“, „Nezabezpečeno“. Zatím to není moc výrazné, ale jednou, snad již brzy, to bude napsané červeně s vykřičníkem. Když takovou stránku s nápisem Nezabezpečeno uvidíte, tak buďte na pozoru. Nezadávejte do ní číslo platební karty, nepřihlašujte se, nic z ní nestahujte a počítejte s tím, že to co čtete, mohl na stránku přidat nějaký poskytovatel banánů v džungli.

Je také možné, že správce vašich oblíbených stránek zaspal a šifrování prostě jen nezapnul. V tom případě je to jednoduché: napište mu, ať to udělá. Pomůžete tak Internet udělat bezpečnějším místem na zemi.

Text byl původně napsán pro tištěný Forbes NEXT, ale nakonec se ke čtenářům dostal jako newsletter a později byl zveřejněn i na webu. K odběru newsletteru se můžete přihlásit, abyste nezmeškali můj další článek pro Forbes, kdybych to zase náááhodou do uzávěrky nestihl, znáte to.

PS: Forbes slíbil, že HTTPS na web také přidá. (A jak slíbil, tak koncem října taky udělal.)


Mohlo by vás také zajímat

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Bezpečnost PHP aplikací
(11.–12. prosince 2018 Praha)

HTTPS pro vývojáře a správce
(13. prosince 2018 Praha)