Mrkněte webům na adresu! Když není bezpečná, utečte
Jak co nejméně riskovat přečtení a následné zneužití dat z vaší platební karty - případně dalších privátních údajů – anonymním internetovým útočníkem při vašem nákupu v e-shopu? Kterak se dá poznat nezabezpečený web obecně? Těmito otázkami avizuji část odpovědí slíbených v předešlém blogu.
Rovnou ovšem předesílám, že absolutně zaštítěný internetový obchod kvůli neutuchající invenci hackerů, ale i občasnému selhání lidského faktoru, prostě neexistuje. Nicméně se poměrně snadno – na první pohled - dají identifikovat online prodejci, u kterých lze s vysokou pravděpodobností předpokládat téměř neprůstřelnou vestu pro elektronické platební transakce.
Především se vyhýbejte e-shopům, a potažmo všem webům, které komunikaci se svými zákazníky, respektive uživateli, nešifrují. V případě těchto – na váš úkor – hazardujících serverů si bohužel může znalý e-pirát vaše data poměrně snadno zobrazit. V horším případě je pak změnit.
Dokonce může předstírat, že je vyžádaný účastník komunikace, tedy třeba zvolený e-shop. A nechat si poslat či převést vaše peníze. Pokud tedy při e-nákupu v nezabezpečeném obchodě platíte kartou a vyplňujete do nějaké kolonky její číslo, datum exspirace (platnost) a kontrolní kód, je to extra risk.
Tyto nezajištěné weby nepoužívají kryptovanou variantu internetového protokolu https, ale jen http – čili bez písmena „s“ na konci. Právě to „s“ ale značí „secure“ - tedy, že transfer dat je chráněný, soukromý. Zkratky https (HyperText Transfer Protocol Secure) i http (už víte, že ta je riziková) se vám ukazují v adresním řádku většiny webových stránek. U některých ale až po rozklepnutí linku. Záleží na prohlížeči, na jeho nastavení.
Na nešifrovaných webech můžete zkusit navštívit bezpečnější verzi požadované stránky: prostě smažte schéma http:// a namísto něj zadejte https://. Pokud to nefunguje, čili chráněná alternativa stránky neexistuje, a vy přesto (!) máte stále o nákup vymodleného produktu v onom konkrétním obchodě eminentní zájem, dá se ještě zkontaktovat vlastník serveru. Se žádostí, aby „page“ zabezpečil šifrovaným protokolem. Hodně štěstí.
V adresovém panelu je také většinou zobrazena ikona, skrze kterou vás browser mimo jiné informuje o tom, zda a jakým certifikátem je potvrzena identita webu, jeho vlastník. A na jakém stupni je jeho případné kryptování. Například nejfrekventovanější prohlížeč - Chrome - označuje web odolný proti „odposlechům a odezírání“ zeleným visacím zámkem. Černý znak „i“ v kroužku většinou upozorňuje, že spojení není zabezpečeno. Červený vykřičník pak rovnou varuje, že zadávání privátních dat je na dotyčné stránce krajně nebezpečné. Pro podrobnější informace ohledně „bezpečnostní prověrky“ každého jednotlivého webu je ale třeba zmíněné značky, při jejich neexistenci aspoň panel s URL, rozkliknout. Každý prohlížeč to totiž má trošku jinak. To URL je jinými slovy také adresa, zpřesněně jednotná adresa zdroje: Uniform Resource Locator. Ještě jinak – je to obsah adresního řádku se všemi těmi protokoly, doménami a navigacemi.
Některé prohlížeče poukazují na stupeň důvěryhodnosti webu také podbarvením adresného panelu.
U Chromu například zelená indikuje, že kredit stránky je plně vyhovující; žlutá nebo oranžová, že je částečně vyhovující (např. dostačující certifikát, ale vydaný pro jinou doménu); červená značí nevyhovující. Závěrem tohoto blogu si dáme osvěžující skotský střik. Tedy jednu dobrou, pak rychle špatnou a nakonec přeci jen jednu nadějeplnou zprávu. Šifrovaným protokolem https je v současnosti chráněno odhadem přes 90 % českých e-eshopů. Ještě loni jich přitom bylo takto zaštítěno jen něco málo přes polovinu. U zahraničních online obchodů je ovšem jejich protekce většinou méně dokonalá. To si schválně ověřte.
Situace v Česku tedy vyznívá celkem fajn, ale je korektní doplnit (teď přijde ledová sprcha), že zelený zámek a https sice potvrzují identitu webu a diskrétnost komunikace, ale už nezaručují ochranu dat po přenosu a po jejich rozšifrování cílovým serverem. Zcela vyloučeno tak bohužel není ani jejich následné pohození v nezakódované podobě do nějaké nechráněné databáze.
Naštěstí se ale většina českých net prodejen k citlivým klientským datům dostat nemůže (to je to finální evangelium=dobrá zpráva). A to proto, že online platby si dobrovolně a ve vlastním zájmu nechávají realizovat prostředníkem-platební bránou, či přímo bankou. A tyto peněžní převody jsou pak navíc ještě sichrovány takzvaným 3D Secure. Více o tom v příštím blogu.
Na portálu kolikmam.cz jsou dostupné informace o fyzických osobách a fyzických osobách podnikajících. Registrovaní uživatelé zde získají přístup k výpisům z registrů a dalším nabízeným službám.
