Zabezpieczenie strony internetowej

by Posted on

Każdy z nas korzysta codziennie z Internetu – w pracy, szkole, autobusie, czyli miejscach gdzie spędzamy wiele czasu. Dzięki jego dostępności możemy na bieżąco śledzić to co się dzieje na portalach społecznościowych, szukać materiałów do nauki, robić mniejsze lub większe zakupy. Niejednokrotnie przy rejestracji w serwisie czy finalizowaniu zakupu podajemy swoje dane osobowe, dane karty płatniczej w celu dokonania płatności – udostępniamy dane wrażliwe osobom trzecim.  

Dlatego bezpieczeństwo w sieci zależy od obu stron – właścicieli stron internetowych jak i samych użytkowników. Właściciele serwisów powinni zapewnić użytkownikom witryny maksymalne poczucie bezpieczeństwa poprzez wykorzystanie przeznaczonych to tego mechanizmów. Natomiast każdy z nas, zwykłych szaraczków internetowych, powinien być w stanie sprawdzić czy strona, z której właśnie korzysta jest bezpieczna.

Podnieś troszkę wzrok i skieruj go proszę na pasek adresu. Widzisz tam kłódkę? Właśnie to maleństwo pokazuje czy strona, z której korzystasz jest bezpieczna… albo raczej powinna taka być. Niestety, na chwilę obecną nie można założyć, że jeśli przy adresie strony pojawi się kłódka to można jej w 100% zaufać. Dlaczego? O tym oczywiście w dalszej części artykułu.

To czym jest ta mała kłódeczka?

Zamknięta kłódka informuje użytkownika o tym, że przeglądana przez niego strona szyfruje wszystkie dane, które miałby zostać przesłane za jej pośrednictwem. To wszystko dzieje się przy użyciu SSL (Secure Socket Layer).  

SSL to protokół, który jest wykorzystywany do szyfrowania różnego rodzaju połączeń – najczęściej może być kojarzony z zabezpieczaniem protokołu HTTP (HyperText Transfer Protocol). To właśnie dzięki szyfrowaniu SSL magicznie otrzymujemy protokół HTTPS (HyperText Transfer Protocol Secure), a co za tym idzie pewność, że nasze dane nie trafią w niepowołane ręce. Tak, to jest ta dodatkowa literka, która pojawia się od jakiegoś czasu po lewej stronie adresu przeglądarki obok starego, dobrze znanego http://. 

Protokół SSL sprawia, że przesyłane dane między przeglądarką użytkownika a serwerem są szyfrowane algorytmami kryptograficznymi, a co za tym idzie zapewniona jest poufność danych. Obecny na stronie internetowej certyfikat SSL umożliwia zestawienie bezpiecznego połączenia między serwerem a przeglądarką internetową i poświadcza, że dany serwer jest dokładnie tym, z którym chcemy się połączyć. Minimalizujemy dzięki temu przechwycenie połączenia przez niepowołane osoby, np. administratorów sieci, dostawców usług internetowych, hakerów. 

Sam SSL nie jest wymagany do uruchomienia strony internetowej, jednak jego brak można porównać do tabliczki wystawionej przed ruiną „Niebezpieczeństwo! Wejście grozi uszczerbkiem na zdrowiu”. Dlatego właśnie SSL, a co za tym idzie technologia HTTPS zapewniają, że dane nie zostały zmienione podczas transmisji (integralność danych) a adresy email, dane kont bankowych czy wszelkie dane wrażliwe są chronione przed wyłudzeniem.

W tym miejscu należy jednak wspomnieć, o czymś takim jak TLS. A cóż to za kolejny twór? TLS (Transport Layer Security), to nic innego jak kolejny protokół, który ma wpływ na prywatność i integralność danych przesyłanych w sieci. Na pierwszy rzut oka jest łudząco podobny do wcześniej wspomnianego protokołu SSL. Czym się więc od siebie różnią? Najogólniej można powiedzieć, że TLS jest bezpieczniejszą wersją SSL. Tak jak w Pokemonach Pikachu ewoluował w Raichu, tak tutaj SSL ewoluował w TLS.

Dlaczego zatem ciągle mówimy o certyfikatach SSL pomimo tego, że TLS jest nowszy i bezpieczniejszy? Ponieważ nazwa ta była już rozpowszechniona i szeroko stosowana w branży, więc można powiedzieć, że wygrała wojnę. Dodatkowo zamawiając “certyfikat SSL” do swojej witryny mamy tak naprawdę na myśli certyfikat, który tak może korzystać zarówno z protokołów SSL, jak i TLS.

Dlatego też, należy zwracać szczególną uwagę na kłódeczkę podczas korzystania z takich stron jak:

  • Serwisy wymagające rejestracji; 
  • Sklepy internetowe;
  • Strony obsługujące płatności, portale bankowe; 
  • Portale szkół czy urzędów.

Jak już wiecie (tak ogólnie) czym jest SSL/TLS i to, że gdzieś jest wykorzystywany certyfikat to możemy wrócić do naszej kłódeczki, która wydaje się być bardziej przyjazna niż jakiś magiczny protokół, który ma nas wszystkich chronić.

Co możemy zobaczyć na pasku adresu?

To jak wyglądały kłódki (lub ich brak) w pasku adresu często jest uzależnione od tego z jakiej przeglądarki korzystamy i od tego jakie obecnie panują trendy jeśli chodzi o podejście graficzne czy informowanie o niebezpieczeństwie.

Zacznijmy jednak od tego, jak sytuacja jest przedstawiona w momencie gdy nie ma certyfikatu?

W przypadku przeglądarki Safari, nie ma kłódeczki – pojawia się za to komunikat o braku ochrony strony. W przypadku prostego bloga jest to jedyna informacja o zabezpieczeniu, którą widzimy.

Przeglądarka Safari

Przeglądarka Chrome natomiast dostarcza trochę więcej informacji. W tym przypadku również nie pojawiła się kłódka. Widzimy za wymowny napis, że strona jest niezabezpieczona oraz trójkąt ostrzegawczy.

Przeglądarka Chrome – pasek adresu

Dodatkowe informacje o zabezpieczeniu witryny pojawią się po kliknięciu w napis Niezabezpieczona.

Przeglądarka Chrom – informacje o zabezpieczeniu witryny

Przypominam! Brak kłódki oznacza, że nie odbywa się szyfrowanie danych a korzystanie ze strony internetowej jest potencjalnie ryzykowane i niebezpieczne.

Po zdobyciu odpowiednich certyfikatów sytuacja zmienia się w następujący sposób dla obu przeglądarek.

W pasku adresu w przeglądarce Safari pojawiła się wcześniej wspomniana kłódka.

Przeglądarka Chrom – pasek adresu

Tym razem jednak, po kliknięciu w kłódkę pojawia się następujący widok:

Przeglądarka Safari – informacja o połączeniu

Przeglądarka Chrome również wykryła, że zaszła zmiana w zabezpieczeniach połączenia.

Przeglądarka Chrome – pasek adresu

I tak jak wcześniej, po kliknięciu w kłódkę pojawiają się dodatkowe informacje o połączeniu:

Przeglądarka Chrome – informacje o połączeniu

Oczywiście poza samą uroczą ikoną kłódki możemy również pozyskać informacje dla kogo został wystawiony certyfikat a co za tym idzie, możemy sprawdzić czy nikt nas nie oszukuje. Jednak o tym co się dokładnie kryje za naszą kłódką przeczytasz w jednym z kolejnych artykułów.

Zasada ograniczonego zaufania

Tak, jest to zasada, którą bardzo dobrze zna każdy kierowca i nie bez powodu została tu przytoczona. Zarówno na drodze jak i w wszechobecnym dostępie do Internetu powinniśmy pamiętać, że nie wszystko, i nie wszyscy są tym za co i za kogo się podają.

We wcześniejszej części artykułu specjalnie zwróciłam uwagę na to, że HTTPS jedynie minimalizuje a nie całkowicie niweluje zagrożenia, które możemy spotkać w sieci. Widząc kłódkę przy adresie witryny wiemy jedynie, że dane są szyfrowane… ale co z ich bezpieczeństwem, gdy już je prześlemy?

Nigdy nie możemy być pewni, że właściciel strony nie jest oszustem, który chce wyłudzić od nas dane. Dlatego też przy podawaniu loginu i hasła, czy to do serwisów bankowych czy portali społecznościowych należy zachować czujność. Na jej braku mogą skorzystać strony, które do złudzenia przypominają oficjalne strony różnych organizacji – banków, szkół, sklepów internetowych. Wykupują one certyfikaty SSL aby zachować wszelkie pozory zabezpieczeń strony aby później przechwycić nasze dane i je wykorzystać. Oszustwo tego typu, polegające na wyłudzeniu danych, nazywane jest phishingiem.

Sam temat certyfikatów jest bardzo ciekawy. Co możemy w nich znaleźć? Jak je samemu wygenerować? Ten wpis jest tak naprawdę wstępem do kolejnych artykułów z tematyki certyfikatów i bezpieczeństwa w sieci. Dlatego też niebawem pojawi się kolejny z tej serii.

Published by Sonia