Zabezpečení přenosu dat na webu? Piánko…
Proč jsou důležité šifrované přenosy dat na Internetu – jako třeba HTTPS – se pokusím vysvětlit bez jediného technického výrazu. Samotné „HTTPS“ zmíním až v samotném závěru.
Před pár dny jsem kamarádovi vyprávěl o zabezpečení přenosu informací po Internetu. Chtěl popsat, co všechno bych mohl se špatně zabezpečeným tokem dat dělat, kdybych byl mizera.
Kamarád sice provozuje e-shop, ale nerozumí všem těm technickým výrazům a zkratkám, a tak chtěl, abych mu na nějakém příkladě popsal, proč je to vlastně důležité a k čemu se nezabezpečená data mohou hodit, zkrátka abych to k něčemu přirovnal. A já jsem si vzpomněl na jeden takový příběh, na kterém bych problematiku šifrování přenosu dat rád přiblížil i vám.
Hovory na náměstí
Jednoho krásného letního dne, po úspěšném vyřešení několika problémů v kanceláři, jsem si cestou domů řekl, že si za odměnu udělám hezký večer. Na náměstí Míru v Praze jsem si koupil dva párky v rohlíku, nejlepší široko daleko, a sedl si na lavičku kousek od stánku. Pustil jsem se do té dobroty a najednou slyším nějaké tóny. Napadlo mě, že asi někomu vedle zvoní mobil, hrálo to fakt dobře, pomyslel jsem si, že to určitě musí být ten nejnovější iPhone. Zvonil docela dlouho. Po dokončení předkrmu jsem si všiml, že to není ničí mobil, ale že naproti stojí piáno a u něj sedí nějaký pán a na to piáno docela hezky hraje. Kousek od pána i piána seděl pár v nejlepších letech se psem. Poměrně nahlas si povídali a podle artikulace bylo tak nějak poznat, že těch pět zelených lahví, co měli pod lavičkou, není od Vincentky. Piáno dohrálo, pán sklidil potlesk, ale pár se psem si konce skladby nevšiml. Povídali si stále celkem nahlas a já, i přesto, že jsem byl totálně zabrán do svého párku v rohlíku, jsem pár vět zaslechl, ačkoliv jsem vůbec nechtěl. No, co vám budu povídat, dozvěděl jsem se, že ten pes je chudák, že mu pán měl jít koupit žrádlo, ale místo toho donesl další piva, a že paní chce tu stovku zpátky, jinak na něj zavolá policii. Samozřejmě, rozhovor byl z poloviny vyplněn takovými výrazy, že kdybyste to četli, tak byste si museli zacpat uši. Některé ty nadávky jsem ani neznal.
Ten rozhovor jistě museli slyšet i další lidé, kteří se zaposlouchali do zvuků pozdně odpoledního piána. Jsem si skoro jist, že kdyby mezi těmi lidmi byl nějaký pojišťovák, tak by pánovi rychle nabídl úrazovou pojistku za velmi výhodných podmínek, šitou na míru přesně podle jeho potřeb, aniž by se pána na ty potřeby ptal. Všechno už přece dávno slyšel a dělal si poznámky. Zástupce specializovaného obchodu se psím žrádlem by přiskočil k psovi, dal mu ochutnat pár granulí a paničce by vnutil vizitku a pár granulí do zásoby. Všichni okolo jsme o těch třech věděli více, než jsme chtěli. Z fantazírování o tom, co dalšího by se těm třem na základě odposlechnutého rozhovoru dalo prodat a nabídnout mě vytrhlo vyzvánění nějakého mobilu, tentokrát opravdového. Mladík sedící na vedlejší lavičce hovor přijmul a začal poměrně květnatě popisovat, co si myslí o svém šéfovi. Nebývale velký nápor takových informací jsem již nevydržel a vyhřáté místečko jsem raději opustil. Cestou domů metrem jsem si sice vyslechl pár dalších příběhů, ale ty už jsem bohužel zapomněl.
Na webu jako nahý v trní
Internet byl v dobách svého vzniku také takovým velkým náměstím Míru s lavičkami. Rozhovor dvou osob mohl slyšet kdokoliv, kdo stál poblíž. Dnes situace se zabezpečením není zas o tolik jiná, bohužel. Možnosti ochrany informací, a tím pádem i soukromí, sice již máme, ale nepoužíváme je, protože netušíme, proč bychom měli.
Představte si, že Internet je opravdu takovým náměstím, a vy, podobně jako já, odpočíváte na tom náměstí na lavičce a od e-shopu, tedy člověka sedícího naproti, chcete koupit dárek pro svého malého caparta. „Hej, ty, v té zelené bundě! Koupím od tebe tu tříkolku!“ Chlápkovi naproti sice nejdřív chvilku trvá, než zjistí, kdo se ho ptá, ale jakmile si vás všimne, tak odpoví okamžitě. „Fajn, za dva litry je tvoje.“ To je dobrá nabídka, nemáte moc času hledat něco levnějšího, tak kývnete hlavou. „Chci tvůj e-mail a heslo,“ konstatuje suše člověk s tříkolkou, „jinak ti ji neprodám.“ Dlouze vzpomínáte, ale nakonec o poznání tišším hlasem voláte zpět „pepicek2010“ a přidáváte adresu, na kterou vám druhý den tříkolku pošle, dnes prý není ještě na skladě. Přirovnání je to sice stejně špatné jako jakékoliv jiné přirovnání, ale takhle to ve své podstatě na webu opravdu funguje. Každý člověk, který seděl blízko vás, nebo zrovna v době, kdy probíhal ten obchod století prošel mezi vámi a tím chlápkem v zelené bundě, o vás a vašem soukromí ví poměrně dost věcí. Pro malého potřebujete tříkolku, časem to bude kolo, pak větší kolo a pak čtyři kola i s karosérií. Ví, kde bydlíte a ví, že se synek jmenuje Josef a že se narodil v roce 2010, protože přesně takto špatně hesla běžně vytváříte. To všechno jsou vaše soukromé informace a to všechno mohou mizerové (nebo marketingoví mágové) na něco využít. Může se také stát, že chlapíka nebudete slyšet, a tak se zeptáte někoho na půli cesty mezi vámi, jestli vám může zopakovat, co prodejce naproti říkal. „Říkal, že vám tříkolku neprodá, ale že je mají támhle v tom obchodě.“ To, že ten prostředník je ve skutečnosti majitelem toho obchodu a že původní prodejce říkal, že vám zboží prodá se již nedozvíte.
Tak takhle nějak podobně to na dnešním webu funguje. Pokud budu chtít, mohu poměrně jednoduše zjistit, jaké články si čtete, co zrovna nakupujete, jaká máte hesla a co o vás ta hesla říkají. Když budu ten prostředník, o kterém jsem psal před chvílí, tak na vašem oblíbeném webu mohu změnit reklamu tak, abych z ní měl peníze já a ne majitel nebo autor těch stránek. Ale nic z toho dělat nechci. Já bych mnohem raději, kdybyste weby, které navštěvujete trochu popostrčili k tomu, aby zabezpečili přenosy všech dat svých návštěvníků, a pokud nějaký web sami máte nebo provozujete, tak abyste to udělali také. Dejte svým návštěvníkům a zákazníkům najevo, že vám jejich soukromí a bezpečnost nejsou lhostejné. Koneckonců i vy sami jste někdy něčí zákazníci a návštěvníci.
Zabezpečené přenosy dat
Přenos dat na webu zabezpečuje šifrované spojení HTTPS. Podívejte se třeba na https://www.slevomat.cz (kdysi jsem tam na zabezpečení pracoval) a všimněte si, že adresa začíná na magické https:// (některá zařízení mohou místo toho zobrazovat ikonku zámku, dělá to třeba iPad.)
To znamená, že nikdo z okolí, ani ten prostředník, nerozumí tomu, co si s tím webem povídáte, a nemůže protékající data ani měnit. A tak to má být. Moderní web by neměl s lavičkami na náměstí Míru mít mnoho společného.
Článek vyšel původně počátkem února 2015 v Hospodářských novinách, toto je moje původní verze bez redakčních úprav.
Mohlo by vás také zajímat
- Školení HTTPS pro vývojáře a správce (nejbližší termín: termín zatím nevypsán)
- Prohlížeče postupně skrývají zámeček a je to dobře
- Moje přednáška o HTTPS, co, proč, jak, zač, nač, kdy, kde, s kým a proti komu
- Co si pohlídat při přechodu na HTTPS z pohledu SEO? od Jaroslava Hlavinky
- Proč a jak přejít na HTTPS, mírně technický článek pro laiky od Tomáše Krauseho
Michal Špaček
Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.