Globální přechod webu na https

encrypt-the-web-everywhere

encrypt-the-web-everywhereNebylo pochyb o tom, že odpověď na neustálé ataky soukromí nakonec přijde. Poslední kapkou, po níž pohár trpělivosti přetekl, bylo vytvoření doplňku Firesheep pro Firefox, který po instalaci umožňoval únos relace s využitím autentizačních cookies, což je ve své podstatě krádež internetové identity. Proto EFF zahájila kampaň za přechod k šifrované komunikaci pomocí protokolu https.

Díky spolupráci mezi projektem Tor a EFF vziklo nové rozšíření Firefoxu nazvané HTTPS Everywhere. Je-li tento doplněk prohlížece instalován, zvolí Firefox při přístup na web vždy šifrované připojení, pokud ovšem je na straně webu podporován protokol https.

Na většině webů je https podporováno pouze částečně, například během procesu přihlašování nebo při zadávání platebních údajů. Poměrně často je šifrované spojení nabízeno jako možná volba (přihlásit pomocí http / https, použít šifrované spojení), nikoli jako standardní výchozí nastavení a po jeho použití je uživatel přepnut zpět do nešifrované komunikace.

HTTPS Everywhere ochrání uživatele jen za předpokladu, že web podporuje https a pro doplněk https jsou vytvořeny pravidla, podle kterých má probíhat konverze http adres na adresy s https. Provozovatelé webu si mohou podle návodu vytvořit jednoduchý xml s konverzními pravidly. Ten lze testovat tím, že soubor umístí do svého lokální profilu Firefoxu. Pokud je podpora https na straně webu plně funkční a soubor pravidel je správně definován, bude přístup do libovolného místa webu probíhat v protokolu https. Uživatel jednoduše napíše do adresního řádku google.com tak jak je zvyklý, doplněk zjistí že Google podporuje https a že pro tento web zná konverzní pravidla a následně bude veškerá další komunikace s Googlem probíhat pomocí https.

Nyní tento doplněk podporuje Google Search, Wikipedia, Twitter, Facebook (s výjimkou chatu), bit.ly, GMX, blogy na WordPress.com, New York Times, Washington Post, Paypal, EFF, Tor, Ixquick a celá řada dlaších webů.

Poněkud kuriózně, či spíš nechutně věc řeší Facebook, který vám prostě při https přístupu zakáže chat a suše konstatuje „Chat na této stránce není povolen“. Bohužel s https na FB také neuvidíte přátele, kteří jsou on-line, neboť to je provázáno s chatem a šifrovaný chat FB nepodporuje. Chápu, hochy ze státních špliclagentur musí neskutečně rozčilovat jakákoli real-time šifrovaná komunikace.  Kromě toho je třeba mít pro maximální stupeň ochrany před FireSheepem při užívání FB navíc doinstalovaný ve Firefoxu i doplněk Adblock Plus.

Pokud jste nyní trochu zaraženi nad tím co je třeba doinstalovat  nebo vás mate, že na ochranu před jedním doplňkem musíte instalovat jiné doplňky, nezoufejte. Firesheep byl vytvořen právě proto, aby bylo demonstroval jak nezabezpečené je soukromí na internetu a jak snadno se může kdokoli za vás vydávat. Respektive za váš počítač a prohlížeč.

Každopádně z hlediska ochrany před hijack session jsou na tom uživatelé Firefoxu lépe, neboť pro  Internet Explorer, Chrome, Operu a Safari zatím nelze vytvořit doplněk srovnatelný s HTTPS Everywhere bez úprav a přeprogramování těchto prohlížečů.

EFF doporučuje provozovatelům webů přechod na https, s tím, že by se měl týkat celého webu, nejen přihlašovacího dialogu nebo platebního modulu. Jednak se tím vyloučí opakované přecházení mezi http a htttps, a za druhé skutečně nikomu třetímu není nic po tom které zboží si v eshopu prohlížete nebo jaké dotazy zadáváte do vyhledávače.

Dalším problémem, který by měli webmasteři napravit, je smíšený obsah webu z různých zdrojů, kdy www stránka sice podporuje https, ale také zobrazuje komponenty nebo moduly, které https nepodporují. Jako příklad může posloužit Wikipedie, kde je https podporováno pouze pro textový obsah, nikoli pro obrázky. Kdokoli na datové cestě může zjistit jaké obrázky z Wikipedie k vám putují a podle toho určit konkrétní prohlížené stránky.

Před tím vás ovšem ani https nechrání na sto procent, neboť alespoň část adresy musí být odesílána v nezašifrovaném tvaru, takže vždy je možné určit web si prohlížíte, ale s https už nelze „po cestě odposlechnout“ obsah prohlížené stránky.

Zbavit se smíšeného obsahu, který má za následek jen částečné šifrování stránky, ovšem znamená vyházet z webu všechny různé kusy dódu, které do stránky dotahují cokoli s webů pomocí http protokolu bez zabezpečení. Tedy vyhodit z webu všelijaká módní propojení na Facebook, reklamní banery, externí počitadla, a pod. A čím dřív to webmasteři udělají, tím více přispějí k soukromí internetových uživatelů.

Zdroj: EFF / Infojet.cz / rn

Napsat komentář