Varni povsod

Objavljeno: 20.4.2012 | Avtor: Marko Hölbl | Kategorija: Nasveti | Revija: April 2012 | Teme: google

Varnost povezave med uporabnikom in spletno stranjo je že leta urejena s pomočjo varne povezave HTTPS. Številne znane in tudi manj znane spletne strani uporabljajo varne povezave HTTPS predvsem, ko so v igri občutljivi podatki. Značilni zgled so spletne prodajalne, elektronsko bančništvo ipd.

Zaradi vedno večjega števila zlorab so varne povezave začele uporabljati tudi priljubljene spletne strani, kot so Facebook, Googlove storitve in tako rekoč vsi ponudniki elektronske pošte, družabnih omrežij in podobnih storitev. Vendar je uporaba varne povezave HTTPS "dražja" od klasične povezave HTTP, saj zahteva več virov, zato ponudniki zelo neradi ponujajo HTTPS povezave ves čas in, če je le mogoče, uporabnike preusmerjajo na "navadne" HTTP povezave. Združenje Electronic Frontier Foundation (EFF) se je zato odločilo, da bo uporabnikom olajšalo delo in jim odvzelo vsaj del bremena glede skrbi, ali se povezujejo prek varne povezave HTTPS ali prek "navadne" nezavarovane povezave HTTP. V ta namen so razvili orodje, ki so ga poimenovali HTTPS Everywhere.

HTTPS Everywhere je dodatek ali vtičnik za priljubljena brskalnika Chrome in Firefox, ki uporabniku olajša varno brskanje. Ob pomoči vtičnika samodejno skrbi za vzpostavljanje varne povezave HTTPS s strežnikom, če je ta na voljo. Prav tako skrbi za preusmerjanje podatkov na varne povezave HTTPS. Če uporabnik obišče spletno stran "www.facebook.com", bo brskalnik samodejno preusmeril uporabnika na varno povezavo "https://www.facebook.com". Sicer številni ponudniki, kot je Google, že sami poskrbijo, da lahko uporabnik vklopi možnost nenehne varne povezave, a so bolj izjema kot pravilo. HTTPS Everywhere pa poskrbi za druge spletne strani, ki te možnosti nimajo ali se ji izogibajo. Prvotna različica 1.0, ki je bila na voljo samo za brskalnik Firefox, različica 2.0 pa je na voljo tudi za brskalnik Google Chrome. Sicer trenutno v različici Beta.

V različici 2.0 vsebuje vtičnik obširen seznam spletnih strani, ki podpirajo povezave HTTPS. Vključene so vse priljubljene spletne strani, med katerimi najdemo seveda Facebook, Google (z iskalnikom vred), Twitter, Wikipedio itd. Če spletne strani ni na seznamu, jo lahko sami dodamo, vendar je za to treba urejati datoteko XML, ki je del vtičnika. Navodila, kako to storiti, so na voljo na spletni strani projekta. Ker številne spletne strani ne omogočajo prenosa vseh podatkov prek povezave HTTPS, nas brskalnik samodejno opozori, če stran želi pošiljati podatke prek odprte povezave HTTP. Tudi v primeru, ko smo se prijavili prek varne povezave in nas nato spletna stran želi preusmeriti na odprto povezavo. Dodatek je priporočljivo imeti nameščen v vsakem primeru, tudi če spletna stran že sama po sebi omogoča prijavo in delovanje prek HTTPS. Le tako smo lahko prepričani, da bo brskalnik uporabil varno povezave vedno, ko bo ta na voljo.

Navedeno je še posebej pomembno, če pogosto uporabljate javne brezžične dostopne točke (WI-FI), saj se podatki prenašajo po zraku popolnoma nezaščiteni.

Varovanje v Chromu in Firefoxu

Vtičnik, ki je v različici 2.0 na voljo tako za Google Chrome kot Mozillo Firefox, uvaja v slednji tudi nekaj novosti. Poleg že zgoraj opisane samodejne vzpostavitve HTTPS povezave je mogoča tudi sočasna uporaba anonimizacijskega omrežja TOR. To uporabniku omogoči večjo raven anonimnosti pri brskanju, poleg varovanja povezave.

Firefox z vtičnikom HTTPS Everywhere

Zaradi beta različice je vtičnik za brskalnik Chrome bolj omejen kot za Firefox, saj ne ponuja storitve decentraliziranega SSL opazovalca (ang. Decentralized SSL Observatory) in vpogleda ter urejanja seznama spletnih strani, do katerih HTTPS Everywhere samodejno vzpostavlja varne povezave. Kljub temu oba vtičnika omogočata funkcionalnost samodejne vzpostavitve varne povezave HTTPS. Spletna stran seveda mora podpirati varne povezave. Na seznamu URL naslovov, s katerega črpa HTTPS Everywhere, je trenutno dobrih 1400 spletnih strani, od katerih je sicer 120 neaktivnih zaradi težav z združljivostjo.

Vtičnik za Chrome je v beta različici

Iskanje kriptografskih ranljivosti

Kje vse vam/nam lahko prisluškujejo

Večja raven anonimnosti - TOR + HTTPS Everywhere

Kljub varnim povezavam HTTPS, ki jih vzpostavljamo s pomočjo HTTPS Everywhere, je še zmeraj na voljo možnost identifikacije uporabnika. Tako lahko ponudnik internetnih storitev ali kateri izmed vmesnih ponudnikov podatke posreduje vladnih uradom, policiji ipd. Zaščita pred "uradnimi" prisluškovalci je tako precej težka, saj so določene informacije še zmeraj vidne ponudniku internetnih storitev kljub uporabi varne povezave HTTPS. V državah, kjer ponudnika internetnih storitev nadzira država, je še posebej pomembno, da se zavedamo tveganj, povezanih s tem. Seveda bi enako lahko veljalo za spletno stran, vendar se omenjena situacija pojavi redkeje.

Ob sočasni rabi HTTPS Everywhere in anonimizacijskega omrežja TOR lahko precej zmanjšamo količino podatkov, ki jih lahko kdorkoli pridobi o nas. O omrežju in storitvi TOR smo v Monitorju že podrobneje pisali. Če ne uporabljamo niti omrežja TOR niti varnih povezav HTTPS, je možnost razkritja zaupnih podatkov velika. Napadalec lahko v tem primeru pridobi naslov spletne strani, ki jo nameravamo obiskati, uporabniško ime in geslo ter lokacijo. Če uporabljamo varne povezave HTTPS, onemogočimo, da bi nekdo tretji prestregel uporabniška imena in gesla, razen seveda spletne strani, na katero se prijavljamo. Če dodatno še uporabljamo TOR, pa onemogočimo tudi pridobivanje realne lokacije, IP naslova in naslova spletne strani za večino morebitnih prisluškovalcev. Seveda pa tudi pri uporabi omrežja TOR nismo popolnoma anonimni, saj izhodna točka omrežja TOR pridobi informacije o spletni strani, ki jo bomo obiskali, vhodna točka pa naš dejanski IP naslov. Kljub temu lahko s kombinacijo varnih povezav HTTPS in anonimizacijskega omrežja TOR precej povečamo varnost in predvsem anonimnost pri brskanju.

Kombinirano delovanje HTTPS Everywhere in omrežja TOR

Najbolj preprost način uporabe anonimizacijskega omrežja TOR v kombinaciji s HTTPS Everywhere je namestitev t. i. "Tor Browser Bundle for Windows", ki ga dobimo na spletni strani projekta TOR, in naknadna namestitev vtičnika HTTPS Everywhere v brskalniku s podporo TORu. Po namestitvi HTTPS Everywhere še dovolimo uporabo storitve decentraliziranega SSL opazovalca in že smo pripravljeni na precej varnejše in anonimno brskanje.

Varnost je vedno omejena!

Ob uporabi tehnologij za anonimizacijo, kot je omrežje TOR, in vzpostavljanju varnih povezav HTTPS s pomočjo vtičnika HTTPS Everywhere se nivo naše varnosti in anonimnosti pri brskanju precej izboljša. Vendar mora biti uporabnik pazljiv, da ne razkriva uporabniških imen, gesel in drugih podatkov, ki jih omenjeni tehnologiji želita zaščititi. Uporaba piškotkov ali podpisovanje z resničnim imenom izniči ves trud, da bi ostali anonimni. Prav tako imata tudi omenjeni tehnologiji svoje omejitve in njuna raba še ne pomeni, da smo v spletu popolnoma varni in anonimni.

Koristne povezave:

HTTPS Everywhere vtičnik za Firefox in Chrome, https://www.eff.org/https-everywhere

Decentraliziran SSL opazovalec (Decentralized SSL Observatory), https://www.eff.org/observatory

Projekt TOR, https://www.torproject.org

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki