Return to site

Biztonságtudatosabb mindennapok IV/2.

4/2.rész – HTTP / HTTPS
(2017-es írás)

Az Internet rengeteg veszélyforrást rejt, előző sorozatban már taglaltam pár veszélyét ugyanakkor nem tértem ki mindenre.

Egyik legfontosabb biztonsági hiba a „hazai Internetben” a rengeteg, regisztrációhoz és így belépéshez kötött, HTTPS SSL titkosítással el nem látott weboldalak hosszú sora. Ez minket azért is érint, mert elég sokáig pl.: a Netpincér volt az egyetlen ételrendelős weboldal ami SSL certifikációval rendelkezett és így a felhasználók adatai nem kerülhettek ki belépés/regisztráció során illetéktelenekhez.

Az egész HTTPS dolognak az a tömör lényege, hogy ha mi a gépünkről egy HTTP oldalon adjuk be a felhasználó név és jelszó párosunkat, vagy regisztrálunk be melynek során megadjuk ezen információk mellé a teljes nevünket, E-Mail címünket / lakcímünket, telefonszámunkat, stb. ez mind a webszervernek elküldött POST csomagban tisztán, titkosítás nélkül kiolvasható.

A Facebook bejelentkezés egy pici adalék, ilynekor maga a belépés egy része titkosított lesz, de a többi tevékenységünk már nem.

A gépünk és a webszerver között levő kiscsillió router, hálózati szegmensben bárki által beállhat hivatalosan vagy nemhivatalosan (csak pénz kérdése), ilyen lehet a TEK (Terrorelhárítási központ), a bűnügyi felderítés, a hírszerzés, az Alkotmányvédelmi hivatal, a Katonai Nemzetbiztonsági Szolgálat, a Rendörség, a Nemzeti Adó- és Vámhivatal, az Információs Hivatal, a Nemzeti Védelmi Szolgálat és az Ügyézség számára biztosított eszközök (melyeket a Nemzetbiztonsági Szakszolgálat biztosít).

Ha már  hazánkról esett szó, akkor jó tudni, hogy a TEK bírói engedélyek nélkül (miniszteri engedéllyel), megelőzés és felderítés céljából az alábbit teheti:

• lakások titkos átkutatása,

• lehallgatás vagy rejtett kamerás megfigyelés

• levelek felbontása, rögzítése,

• telefonlehallgatás,

• internetes adatforgalmat megfigyelése,

• behatolás számítógépekbe,

• bármely adatkezelési rendszerből adatok bekérése.

Visszakanyarodva, a Firefox kihozta korábban az 52-es változatát, amivel kis figyelmeztető szöveg jelenik meg, ha HTTP oldalon akarunk beregisztrálni vagy belépni és ez meglepő módon 99%-ban működik is.

Azóta megmozdult a hazai web, egyre több cég áldoz be éves szinten 5-7 eFt-ot a SSL certifikációra és teszi biztonságosabbá az ügyfeleik részére szolgáltatásaik elérését/használatát.

 Pár negatív példa:

Sajnos van olyan hazai E-Mail szolgáltató, aki nem látta el még mindig megfelelően HTTPS-el a weboldalát, ilyen pl.: a gmail.hu.

Ha laptopot szeretnénk vásárolni akkor a laptop.hu sem a legbiztonságosabb erre a célra pedig rengeteget ölnek a marketingbe.

Blogolni, hozzászólni sokan az indapass.hu oldalon szoktak, amivel az Indamail levelezőt is használják, ami ugyancsak HTTPS nélküli oldal (ugyanakkor az Indamail.hu el lett látva HTTPS SSL certifikációval). Ebédrendelésnél pl.: az anyucika.hu, gastroyal.hu még mindig HTTP oldalt használnak.

 A böngészőben érdemes nézni a kis zöld lakatot, vagy a HTTPS feliratot, esetleg böngészőbővítmények is segítségünkre lehetnek, mint pl.: Calomel SSL (amely ki pajzs színével mutatja számunkra a HTTPS oldal „erejét”) vagy a HTTPS Everywhere.

 A végére hagytam, hogy ez a HTTPS nélkülözés nem csak hazánkra érvényes (lásd pl.: korábbi Google oldalak és maga a gmail.com is).

Sajnos a mai napig nem értem, hogy sem a Disney, sem a Lucasfilm nem tud kitermelni a www.starwars.com-hoz SSL certifikációt…vagy valami turpisság van a háttérben...