825-330-pexels-photo-92331

TIP#658: Jaký je rozdíl mezi http a https? A proč si na to dávat pozor?

Svět snad konečně míří k tomu, že veškeré webové stránky a komunikace budou bezpečně šifrované, tedy probíhající přes https „adresy“. Umožnil to vývoj technologie a uspíšilo to zjištění, že tajné služby dlouhé roky šmírovaly veškerý nešifrovaný webový prostor.

http v adresní řádce znamená. že veškerá probíhající komunikace je cestou kýmkoliv odchytitelná, čitelná a také případně změnitelná. Nejenom, že někdo může vědět co posíláte a přijímat, ale také může do komunikace zasahovat. Takže může podvrhnout zcela jiné informace v okamžiku, kdy jste připojení, například, do online bankovnictví. Nebo místo neškodných inzerátů posílat útočný kód, co do vašeho počítače dostane malware.

Ona odchytitelnost znamená hlavně i to, nešifrovaně přistupovat kamkoliv znamená, že případný útočník nejenom získá přihlašovací údaje, ale může odchytit i cookies udržující přihlášení a začít se za kohokoliv vydávat. Více viz např. Co je to MITM? ale třeba i Co je to WiFi/Packet Sniffer a kde si ho můžu opatřit a co bych o tom měl vědět?

TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně. A tohle opravdu nepodceňujte.

https v adresní řádce (zpravidla vizuálně indikované i nějakým tím zámečkem či jinou formou) znamená, že komunikace probíhá šifrovaně a výše popsané možné není (možné není jednoduchým způsobem, ale nikoliv absolutně).

Proto je důležité aby https bylo vždy aktivní tam, kde odesíláte přihlašovací údaje, řešíte emaily, online bankovnictví, nakupujete, přenášíte jakékoliv osobní či citlivé informace.. Ve skutečnosti by dnes už všechen provoz na webu měl být šifrovaný, ale chvíli bude trvat, než něco takového bude realitou.

TIP: Zdejší ‣ Průvodce bezpečným Internetem, který bezpečný být nemůže pomůže v řadě dalších věcí, které se týkají soukromí a bezpečí na Internetu

2016-11-16 06_56_44-@365tipu – Jeden tip denně (po-pá), starší často aktualizované. Na Twitteru i Fa.png

https v adresní řádce vám navíc může pomoci s ověřením identity webu, na který jste se připojili. Každý web umožňující https totiž používá certifikát – ten říká že byl vydán pro onu konkrétní doménu a jejího vlastníka. Celé je to doplněné systémem pro vydávání ověřených certifikátů, omezení jejich časové platnosti i o stahování certifikátů, které předčasně přestaly platit. Není to zdaleka 100% blbuvzdorné a pro obyčejné uživatele je to poněkud zmatené, ale může to hodně pomoci při odhalení phishingu a řadě dalších útoků.

ZJEDNODUŠENĚ? Zámeček a tedy šifrované připojení musí být přítomno všude, kde se někam přihlašujete nebo kde vkládáte či získáváte osobní či citlivé informace. E-shopy, banky, sociální sítě, webové e-maily, správa účtů pro online hry, atd. Pokud podobné věci nemají https (šifrovanou) podobu, tak jsou zásadním rizikem. Třeba i proto, že je velmi nebezpečné používat neznámé WiFI

Pro provozovatelé webů je asi vhodné zmínit, že Google jim za používání https nadělí trochu lepší pozici ve vyhledávání (zatímco Seznam.cz hrozně dlouho vůbec neuměl https indexovat a je otázka, jestli to opravdu dali do použitelné podoby). Nehledě na to, že web na https bude poněkud lépe zacházet s refererovými informacemi.