Přistupujte k webovým aplikacím zabezpečeně!

Řada z vás patrně zaregistrovala nejnovější „kauzu“ okolo rozšíření Firesheep. Jedná se o rozšíření pro Firefox, které umožňuje snadným způsobem zachytávat v síťovém provozu nezabezpečená přihlášení ke službám jako je Facebook, Google či Twitter. Jak autor uvádí, bylo cílem tohoto rozšíření poukázat na fakt, že k většině webovým stránkám, ke kterým se nějakým způsobem přihlašujeme, přistupujeme nezabezpečeně. Chyba přitom nemusí být pouze na straně uživatele, často totiž zabezpečeně k webové aplikaci ani přistupovat nelze. Detailněji se o celém problému rozepisuje Daniel Dočekal.

Jak asi tušíte, neexistuje nějaké dokonalé řešení. Něco ale přece udělat můžete. Pokud webová aplikace, ke které se přihlašujete, podporuje zabezpečené připojení (https), nebojte se jej používat. Existuje též šikovné rozšíření HTTPS Everywhere, které u webů, u kterých je známo, že zabezpečené připojení podporují, provede automatické přepnutí komunikace na zabezpečenou. Jak zmiňuje Mozilla Security Blog, podporuje připravovaný Firefox 4.0 HTTP Strict-Transport-Security, díky které může webový server prohlížeči snadno sdělit, aby ve vzájemné komunikaci vyžadoval zabezpečené spojení. Formou rozšíření je též k dispozici pro starší verze Firefoxu.

Pokud chcete vědět, zda webová aplikace, ke které se přihlašujete, používá zabezpečené připojení, klepněte na tlačítko v levé části adresního řádku. Zobrazí se vám informační okno, ze kterého snadno zjistíte, jak na tom jste. Podle úrovně zabezpečení se toto tlačítko též zabarvuje.

Informace o zabezpečení stránky

A co dělat, pokud používáte webovou aplikaci, která zabezpečené připojení nepodporuje vůbec? Bohužel, mnoho ne. Můžete zaurgovat autory aplikace (pokud vás nebudou rovnou ignorovat), nepřistupovat k těmto aplikacím v otevřených WIFI sítích apod. Tím riziko minimalizujete, ale bohužel se ho nezbavíte.

Přečtěte si také

5 odpovědí

  1. v6ak napsal(a) :

    A hlavně, je důležité zadávat adresu i s „https://“ a nespoléhat se na přesměrování na tuto variantu. Informace, že má být použita varianta s „https://“, je posílána nešifrovaně a nepodepsaně, takže není problém v případě narušení spojení ji „odstranit“ (zjednodušeně řečeno).

    Ve Firefoxu 4 už jsou k dispozici nástroje, které se snaží tento problém vyřešit za uživatele, ale není vhodné se na ně bezmezně spoléhat – už proto, že správce daného webu je nemusí využít.

    Důležité je to například u internetového bankovnictví. Je vhodné využít záložek nebo něčeho podobného.

  2. Charla napsal(a) :

    Škoda jen, že správce hesel ve firefoxu neumí udělat změnu adresy stránky pro kterou má uložené údaje. Například když mám jméno a heslo uložené pro http://www.stranka.cz/formular a tvůrci změní strukturu na http://www.stranka.cz/formularek tak musím znovu psát jméno a heslo, to samé když http://facebook mi změní rozšíření na https. mám dost dlouhé heslo a správce hesel mi jej nenabídne a bohužel to v něm nemůžu upravit, že bych řekl že toto jméno a heslo už neptří pro http://facebook ale pro https.

  3. Charla napsal(a) :

    Off topic : „Váš komentář čeká na schválení.“ Vidím prvně….co to je? ^^;

  4. David napsal(a) :

    Ale přece Google nebo Facebook umí SSL. Google rovnou má vyhledávání s SSL. Twitter nevím…
    [2] Tvůj komentář musí někdo schválit (samozřejmě že ne čtenář, třeba autor blogu/stránek pan Cvrček).
    [1] Nebo se to dá vyřešit, že v adrese připíšeš k protokolu HTTP písmeno S. Takto se dá vyžádat zabezpečené přihlášení třeba k FB, ale ten ti po přihlášení zase vrátí zpátky, ale dá se to opět vyžádat.

  5. v6ak napsal(a) :

    [3] To je něco jiného. Třeba bankovnictví mě přesměruje při zadání adresy bez „s“, ale nemůžu se na to spoléhat, protože to někdo může po cestě upravit tak, že k přesměrování nedojde. Pokud použijí ono Strict-Transport-Security, já budu používat například Firefox 4 a už jsem tu stránku někdy navštívil, tak v bezpečí asi budu (neznám to přesně), ale spoléhat se na to nechci.