Wczoraj pisałem o możliwym włamaniu na konta użytkowników LinkedIn z powodu tego, że ciasteczka stają się widoczne dla podsłuchującego dlatego, że ser...
Wczoraj pisałem o możliwym włamaniu na konta użytkowników LinkedIn z powodu tego, że ciasteczka stają się widoczne dla podsłuchującego dlatego, że serwis po zalogowaniu przerzuca użytkownika z https do standardowego protokołu http. Wpis wywołał pewne reakcje i ogólne zainteresowanie. Sama wiadomość obiegająca blogosferę zyskała duże znaczenie. Nie ma co się dziwić - nikt nie chce być podsłuchiwany czy też nie chce sytuacji, w której ktoś podgląduje regularnie jego profil w serwisie społecznościowym. Nie wszyscy jednak wiedzą, jak się przed tym chronić. EFF uruchomiło w kwietniu kampanię HTTPS Now, której założeniem jest edukacja w dziedzinie zabezpieczeń nie tylko internautów, ale przede wszystkim administratorów i właścicieli stron.
We wczorajszym wpisie Grzegorz napisał
Dla mnie https to powinien być wymagany (wymuszany) standard wszędzie tam gdzie zbiera się dane czy jest logowanie.
Całkowicie zgadzam się z tym zdaniem. I nie tylko my tak myślimy, ale i organizacje zajmujące się internetem - EFF wraz z firmą Access zainicjowali kampanię HTTPS Now, której zadaniem jest w pierwszym kroku edukacja internautów i zachęcenie ich do stosowania HTTPS tam, gdzie tylko się da, dalej - zebranie bazy danych stron internetowych z adnotacją na temat wykorzystania bezpiecznego protokołu połączenia, która dawać będzie ogólny pogląd na sytuację w sieci, a ostatni krok będzie związany z przekonaniem właścicieli i administratorów stron do wdrożenia https.
Pierwsze założenie uzyskiwane jest dzięki działalności EFF m.in. prowadzeniu bloga, ale jednocześnie poprzez stworzenie dodatku do Firefoksa o nazwie HTTPS Everywhere, o którym pisał np. niebiezpiecznik. Zadaniem dodatku jest wymuszanie wykorzystania https tam, gdzie tylko się da. Dodatek zamienia zapytania http na https i jeśli strona posiada certyfikat SSL i nie blokuje tego typu zapytań dla poszczególnych podstron, udaje się zwiększyć zakres wykorzystania https w danym serwisie. Chodzi o to, by wycisnąć jak najwięcej https z serwisów internetowych, które mają w zwyczaju stosowanie tego bezpiecznego protokołu jedynie dla wybranych podstron, tak jak np. opisywany wczoraj LinkedIn. Poza tym wciąż niewielka liczba serwisów posiada certyfikaty SSL i - niestety - na ten problem dodatek stworzony przez EFF nic nie pomoże.
Problem z małą liczbą serwisów posiadających certyfikaty związany jest z kosztami - zarówno wdrożenia samego certyfikatu jak i kosztów serwerów, które potrzebują większej mocy obliczeniowej by obsługiwać szyfrowanie. Firma z pierwszego miejsca w Google dla frazy "certyfikaty ssl" - GigaOne - oferuje szeroki wachlarz certyfikatów, przy czym najtańszy to koszt ponad 100 zł rocznie, z obsługą subdomen - 600 zł rocznie. Najdroższa opcja, która nota bene bazuje na 256-bitowym kluczu, kosztuje przeszło 6000 zł. Niemało, a jak już mówiłem, dochodzą do tego koszty zwiększonej pracy serwerów.
Drugim krokiem kampanii jest zbieranie bazy danych serwisów internetowych z informacją na temat wdrożonych zabezpieczeń. Baza ta jest dostępna na stronie HTTPS Now i każdy ma możliwość dodania do niej nowej pozycji - EFF prosi wolontariuszy o pomoc w uzupełnianiu tej bazy. Zbierane są tutaj takie informacje jak to, jaka część strony jest chroniona, jakim kluczem, jakiego typu ciasteczkiem, jakim certyfikatem etc.
Trzeci krok kampanii zostanie osiągnięty po zebraniu odpowiedniej liczby użytkowników HTTPS Everywhere, co będzie znakiem o tym, że użytkownicy chcą bezpieczniejszego internetu. Ten fakt wraz z solidną bazą danych będzie kartą przetargową w kwestii negocjacji z właścicielami stron wdrożeń https do ich serwisów oraz rozszerzaniu zakresu działania tego protokołu w serwisach, które już go wykorzystują.
Eva Galperin, aktywistka z EFF, powiedziała, że słyszeli oni nie raz o kradzieży haseł do kont e-mailowych, do serwisów społecznościowych np. za pomocą narzędzi takich jak Firesheep, dlatego powstała kampania HTTPS Now, której zadaniem jest edukacja użytkowników w zakresie bezpieczeństwa w sieci poprzez odpowiednie wykorzystanie protokołu HTTPS. Eva twierdzi, że bez tego protokołu żadna strona nie jest w stanie zagwarantować użytkownikom prywatności.
Jochai Ben-Avie z firmy Access współpracującej w ramach akcji z EFF powiedział natomiast:
We want to make it easier for web users to get the security they need and deserve, but we can't do it alone. We need an accurate picture of the state of HTTPS on the Internet. After that, we can target website operators and make it easy for them to update their sites. Working together, we can all be safer from identity theft, security threats, viruses, and other things that come from an insecure Internet.
Trzymam kciuki za kampanię. Giganci powinni traktować prywatność użytkowników poważnie i wliczyć w koszty obsługę protokołu https, zwłaszcza, gdy - tak jak np. LinkedIn - dysponują kapitałem 8 miliardów dolarów.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu