2. díl webové bezpečnosti: HTTPS je teprve začátek!
Nejenom bezpečnost, ale například i lepší pozice webu ve vyhledávání se skrývají za pouhým jedním písmenem, kterým je S. Postavíte-li vedle sebe dvě identické stránky, kdy ale jedna z nich bude mít před URL adresou zkratku HTTPS namísto HTTP, pak znají vyhledávače jasného vítěze. I kdybyste ku příkladu klíčová slova bidovali na http mnohem více, vždy v pozicích zvítězí HTTPS.
Přechod na HTTPS je absolutně nezbytný krok, ačkoliv to ještě velká část online světa neudělala. Nejenom, že s HTTPS budete výrazně napřed před konkurencí bez Ska (například Google webům s HTTP nedává vůbec šanci), ale zároveň se ubráníte možným nepříjemným bezpečnostním situacím. A chránit vaše webové stránky nebo e-shop byste měli vždy bez ohledu na fakt, jestli zpracovávají nebo nezpracovávají citlivé údaje.
Červená kontrolka
Jakmile vám někde na webu vyskočí okno s přeškrtnutým zámkem a informací, že připojení není zabezpečené, berte nohy na ramena. Nejenom u kontaktních, registračních, ale i přihlašovacích formulářů totiž v takovém případě může nastat situace „man in the middle attack“. To znamená, že posíláte data přes nezabezpečený HTTP protokol, kde je hacker bez problémů zachytí. Přihlašovací jméno a heslo – vše v čitelné nezašifrované podobě. Pokud by se vám něco podobného stalo například u platby, okamžitě e-shop nebo web opusťte a doufejte, že nebylo pozdě.
Že už na HTTPS musí běžet snad každý web a e-shop? Omyl. Nejnovější údaje ukazují, že stále pouze necelých 65 % webů běží na HTTPS. Navíc to ještě neznamená, že je na HTTPS web celý, ale například jen jedna stránka. A v tom případě je 65 % žalostně málo vzhledem k faktu, že by na HTTPS měl běžet web úplně celý, ne pouze jeho část. Á propos – na světě existuje něco kolem 4,5 miliard webových stránek. Dovedete si tedy asi představit, jak velké je pole působnosti pro hackery, kteří lační po nezabezpečených HTTP webech.
S jako Superdata
Zelený zámeček, slovo „Zabezpečeno“ a HTTPS. Taková vodítka chcete vidět například v Google Chrome prohlížeči. Značí, že jste na bezpečných stránkách, které jsou na tom líp než třeba taková Policie ČR, která ještě kouzlo HTTPS neobjevila.
U INSPIRE webů a e-shopů najdete HTTPS vždy. Přes to u nás prostě nejede vlak. Umíme ale i vyšší level, který bohužel často nepoužívají ani některé banky. V množině HTTPS webů se schovávají ještě weby s HSTS. Zjednodušeně je to mechanismus, který vynucuje použití HTTPS pro veškerou komunikaci prohlížeče a serveru, a to nejenom pro jednu návštěvu, ale i do budoucna. V určitém časovém horizontu hlídá přenos obrázků, JavaScriptu, kaskádových stylů a celého sezení včetně cookies. Díky možnosti ovlivnění budoucích návštěv zákazníka, který u vás již někdy byl, se tak již nestane, že by komunikoval jinak než přes HTTPS.
A dokonce existuje ještě něco navíc. Projekty, které splňují přísnější a vyšší formu zabezpečení, než je samotné HSTS, spadají pod tak zvaný HSTS preload list. To je seznam webů, které splňují velmi striktní podmnožinu implementace HSTS, která spočívá ve způsobu přesměrování HTST na všech subdoménách a ve správné konfiguraci serveru.
Pokud se vám podaří s vaším webem být součástí téhle privilegované skupiny, a že my v INSPIRE vám s tím pomoct dokážeme, pak můžete bouchnout šampaňské. V takovém případě se totiž vaše doména stane součástí zdrojových kódů prohlížečů a při vstupu na takovou doménu pak vždy komunikujete přes HTTPS a nikdy jinak. Prohlížeč se v takovém případě ani nesnaží zjistit, jestli má web podporu HTTPS nebo ne. Prostě a jednoduše vždy komunikuje jen přes něj.
Takové vlajkové lodě v INSPIRE máme. Než jakýkoliv náš projekt spatří světlo světa, projde důkladnými checklisty a bezpečnostními kontrolami, které nejsou na poli agentur zrovna standardem. Proto vám rádi poradíme, pomůžeme nebo něco konkrétního vytvoříme, protože neznáme lepší pocit, než když naše weby napříč soutěžemi získávají ta nejlepší hodnocení.
A na konec slovy klasika: „Nejbezpečnější je e-shop, který je zavřený.“ (Michal Špaček)