Prohlížeče postupně skrývají zámeček a je to dobře

Ikoně zámečku 🔒, která označuje „zabezpečené“ stránky, se přisuzují různé kouzelné vlastnosti. Třeba to, že označuje jen důvěryhodné weby, které nezneužijí vaše hesla a data. Zámeček z prohlížečů postupně mizí a je to dobře. A proč vlastně?

Používáte webový prohlížeč Google Chrome? A už máte jeho novou verzi? Nejspíš ano, vyšla začátkem září, má číslo 69 a na první pohled ji poznáte: má kulaté rohy. Nejvíc je to vidět v tom místě, kde se zobrazuje adresa stránek, v adresním řádku. Chrome ho nazývá omnibox – protože už v něm nejde jen o adresu, zadáváte do něj také vyhledávací dotazy, z nichž některé umí rovnou i zodpovědět (zkuste: počasí, usd, kdo je prezident). Funguje také jako jednoduchá kalkulačka.

Zelená je tak akorát tráva

V levé části omniboxu je na některých stránkách zámeček. Najdete ho na Facebooku, Googlu, ve vašem bankovnictví, ale také na všech mých webech. Možná si vzpomenete, že vás na zámeček někdo kdysi upozornil, ale že zmiňovali zelený zámeček a že prý tak poznáte bezpečnou stránku.

Nepoznáte, ale k tomu se ještě dostaneme. Zpátky k barvám. Ten zámeček byl kdysi opravdu zelený, vedle něj byl nápis „Secure“ („Zabezpečeno“), to až v nějaké novější verzi Chrome zešednul. V dark mode býval bílý, teď je světle šedý, ale rozhodně ne zelený. Jestli jste si zámečku doteď nevšimli a veškeré rady tak úspěšně ignorovali, tak si z toho vůbec nic nedělejte. Google, výrobce Chrome, se totiž ten zámeček postupně snaží udělat neviditelným. V Chrome 93 poběží experiment, který zámeček nahradí neutrální ikonou, která by měla více naznačovat, že na ni lze kliknout.

Chrome 117 vydaný v září 2023 ikonu zámečku definitivně nahradí ikonou Tune (Poladit), která vypadá tak trochu jako vařečky. Nová ikona by vám měla napovědět, že se na ni dá kliknout a pak něco nastavit:

Ostatní prohlížeče budou Chrome pravděpodobně následovat. Co ten zámeček vlastně znamená a proč postupně mizí a proč je to dobře?

Odposlechy na náměstí

Internet byl v dřívějších dobách takové náměstí. Lidé seděli na lavičkách, povídali si a kdokoliv šel kolem, tak jejich hovor mohl zaslechnout. Když jste chtěli zmrzlinu, tak jste svému „poskytovateli zmrzliny“ dali svou platební kartu a požádali ho, aby vám dva kopečky přinesl. On zmrzku někde sehnal, zaplatil vaší kartou a zároveň si z ní údaje opsal, aby si mohl příště zmrzku kupovat sám a za vaše.

Já vím, přirovnání ze skutečného světa na ten internetový moc nepasují, ale zkuste si to alespoň trochu představit. Váš poskytovatel Wi-Fi nebo připojení k Internetu mohl vidět co si čtete, co komu posíláte, vaše hesla apod. Vše mohl také měnit. Takže když vám hodný Míša poslal jeho číslo účtu, abyste mu zaplatili ten dluh ze sobotní noci, tak ho „někdo“ po cestě mohl změnit a vám přišlo číslo účtu někoho jiného. Ten „někdo“ k tomu mohl přibalit reklamu na nějaký produkt, odkaz na stránku, která mu vydělá nějaké drobné, nebo taky třeba odkaz na stažení zákeřného viru. Vy jste ale neměli šanci poznat, že to poslal někdo jiný a ne Míša. Když se nad tím zamyslíte, tak to vypadá spíš víc jako džungle, než jako náměstí.

Ten zámeček znamená, že vaše informace a data tou džunglí cestují chráněná. Chrání je matematika v podobě šifrování. Technicky se tomu šifrování přenášených stránek říká HTTPS, kde to S znamená Secure. Pro lepší zapamatování můžete použít i alternativní význam: How To Transfer Private ShitStuff.

Úplně vás slyším, jak se chcete zeptat a odpověď je ne, zámeček nezaručí, že stránka, u které se zobrazuje, nezneužije vaše platební údaje, neprodá vaše hesla nebo že vám dodá zboží včas a že můžete věřit všemu, co se na té stránce píše. Zámeček se tak klidně může objevit u stránek s hloupostmi typu „země je placatá“ a znamená jediné: opravdu to na té stránce píší a nepřidal to tam nikdo během toho, co stránka tou internetovou džunglí cestuje k vám.

Zámečku jsme postupně začali přisuzovat skoro magické vlastnosti: třeba to, že stránka se zámečkem je prý důvěryhodná. Není, mizerové ten zámeček mohou dát o pár centimetrů jinam jako obrázek nebo si ho zkrátka taky pořídí. Tzv. HTTPS certifikát, díky kterému prohlížeč ten zámeček zobrazí, dá se sehnat zdarma.

Šifrování všude

Vysvětlit co ten zámeček znamená se nedá jedním nápisem „Secure“ nebo „Zabezpečeno“. Možná by tedy bylo vhodnější, kdyby takový nápis i zámeček zmizel úplně a prohlížeč místo toho upozorňoval spíš na ty špatné věci. Šifrování by mělo chránit veškeré stránky na webu a měli bychom to brát jako samozřejmost.

Prohlížeč by měl spíš označovat stránky, které šifrování nepoužívají. A to už také dělá. Stránky bez ochrany HTTPS jsou označené jako „Not secure“, „Nezabezpečeno“. Zatím to není moc výrazné, ale jednou, snad již brzy, to bude napsané červeně s vykřičníkem. Když takovou stránku s nápisem Nezabezpečeno uvidíte, tak buďte na pozoru. Nezadávejte do ní číslo platební karty, nepřihlašujte se, nic z ní nestahujte a počítejte s tím, že to co čtete, mohl na stránku přidat nějaký poskytovatel banánů v džungli.

Je také možné, že správce vašich oblíbených stránek zaspal a šifrování prostě jen nezapnul. V tom případě je to jednoduché: napište mu, ať to udělá. Pomůžete tak Internet udělat bezpečnějším místem na zemi.

Text byl původně napsán pro tištěný Forbes NEXT, ale nakonec se ke čtenářům dostal jako newsletter a později byl zveřejněn i na webu. K odběru newsletteru se můžete přihlásit, abyste nezmeškali můj další článek pro Forbes, kdybych to zase náááhodou do uzávěrky nestihl, znáte to.

PS: Forbes slíbil, že HTTPS na web také přidá. (A jak slíbil, tak koncem října 2018 taky udělal.)

---

Mohlo by vás také zajímat

• Školení HTTPS pro vývojáře a správce (nejbližší termín: termín zatím nevypsán)
• Ve starším článku Zabezpečení přenosu dat na webu? Piánko… to náměstí rozebírám trochu víc
• Moje přednáška o HTTPS, co, proč, jak, zač, nač, kdy, kde, s kým a proti komu
• Co si pohlídat při přechodu na HTTPS z pohledu SEO? od Jaroslava Hlavinky