Az Internet rengeteg veszélyforrást rejt, előző sorozatban már taglaltam pár veszélyét ugyanakkor nem tértem ki mindenre.
Egyik legfontosabb biztonsági hiba a „hazai Internetben” a rengeteg, regisztrációhoz és így belépéshez kötött, HTTPS SSL titkosítással el nem látott weboldalak hosszú sora. Ez minket azért is érint, mert elég sokáig pl.: a Netpincér volt az egyetlen ételrendelős weboldal ami SSL certifikációval rendelkezett és így a felhasználók adatai nem kerülhettek ki belépés/regisztráció során illetéktelenekhez.
Az egész HTTPS dolognak az a tömör lényege, hogy ha mi a gépünkről egy HTTP oldalon adjuk be a felhasználó név és jelszó párosunkat, vagy regisztrálunk be melynek során megadjuk ezen információk mellé a teljes nevünket, E-Mail címünket / lakcímünket, telefonszámunkat, stb. ez mind a webszervernek elküldött POST csomagban tisztán, titkosítás nélkül kiolvasható.
A Facebook bejelentkezés egy pici adalék, ilynekor maga a belépés egy része titkosított lesz, de a többi tevékenységünk már nem.
A gépünk és a webszerver között levő kiscsillió router, hálózati szegmensben bárki által beállhat hivatalosan vagy nemhivatalosan (csak pénz kérdése), ilyen lehet a TEK (Terrorelhárítási központ), a bűnügyi felderítés, a hírszerzés, az Alkotmányvédelmi hivatal, a Katonai Nemzetbiztonsági Szolgálat, a Rendörség, a Nemzeti Adó- és Vámhivatal, az Információs Hivatal, a Nemzeti Védelmi Szolgálat és az Ügyézség számára biztosított eszközök (melyeket a Nemzetbiztonsági Szakszolgálat biztosít).
Ha már hazánkról esett szó, akkor jó tudni, hogy a TEK bírói engedélyek nélkül (miniszteri engedéllyel), megelőzés és felderítés céljából az alábbit teheti:
• lakások titkos átkutatása,
• lehallgatás vagy rejtett kamerás megfigyelés
• levelek felbontása, rögzítése,
• telefonlehallgatás,
• internetes adatforgalmat megfigyelése,
• behatolás számítógépekbe,
• bármely adatkezelési rendszerből adatok bekérése.
Visszakanyarodva, a Firefox kihozta korábban az 52-es változatát, amivel kis figyelmeztető szöveg jelenik meg, ha HTTP oldalon akarunk beregisztrálni vagy belépni és ez meglepő módon 99%-ban működik is.
Azóta megmozdult a hazai web, egyre több cég áldoz be éves szinten 5-7 eFt-ot a SSL certifikációra és teszi biztonságosabbá az ügyfeleik részére szolgáltatásaik elérését/használatát.
Pár negatív példa:
Sajnos van olyan hazai E-Mail szolgáltató, aki nem látta el még mindig megfelelően HTTPS-el a weboldalát, ilyen pl.: a gmail.hu.
Ha laptopot szeretnénk vásárolni akkor a laptop.hu sem a legbiztonságosabb erre a célra pedig rengeteget ölnek a marketingbe.
Blogolni, hozzászólni sokan az indapass.hu oldalon szoktak, amivel az Indamail levelezőt is használják, ami ugyancsak HTTPS nélküli oldal (ugyanakkor az Indamail.hu el lett látva HTTPS SSL certifikációval). Ebédrendelésnél pl.: az anyucika.hu, gastroyal.hu még mindig HTTP oldalt használnak.
A böngészőben érdemes nézni a kis zöld lakatot, vagy a HTTPS feliratot, esetleg böngészőbővítmények is segítségünkre lehetnek, mint pl.: Calomel SSL (amely ki pajzs színével mutatja számunkra a HTTPS oldal „erejét”) vagy a HTTPS Everywhere.
A végére hagytam, hogy ez a HTTPS nélkülözés nem csak hazánkra érvényes (lásd pl.: korábbi Google oldalak és maga a gmail.com is).
Sajnos a mai napig nem értem, hogy sem a Disney, sem a Lucasfilm nem tud kitermelni a www.starwars.com-hoz SSL certifikációt…vagy valami turpisság van a háttérben...