Andrzej Majewski

Andrzej Majewski

Bezpieczeństwo Informacji w Internecie i Biznesie

Jak sprawdzić, czy połączenie z witryną w przeglądarce jest bezpieczne?

To pytanie zadajemy sobie pewnie za każdym razem, gdy wchodzimy do banku internetowego, musimy na stronie sieci Web podać swoje dane osobowe lub inne istotne informacje. Spróbujmy dać odpowiedź na to pytanie, odpowiadając najpierw na kilka pytań pomocniczych.

Co to jest bezpieczne połączenie?

Bezpieczne połączenie jest to szyfrowana wymiana informacji pomiędzy odwiedzaną witryną sieci Web a przeglądarką internetową. Szyfrowanie odbywa się w sposób niewidoczny dla użytkownika, począwszy od momentu otwarcia witryny, której adres URL rozpoczyna się od https://, a serwer WWW posiada uruchomiony mechanizm zestawiania bezpiecznej sesji SSL i certyfikat dla swojego klucza publicznego. W trakcie zestawiania bezpiecznego połączenia z witryną generowany jest klucz sesyjny, którym szyfrowana jest cała wymiana danych pomiędzy serwerem i przeglądarką. Podczas przesyłania informacji do witryny sieci Web, dane także są szyfrowane na komputerze użytkownika, a deszyfrowane w serwerze witrynie sieci Web. W normalnych warunkach dane przesyłania podczas połączenia nie mogą zostać odczytane lub sfałszowane, jednakże znalezienie sposobu na złamanie szyfru jest możliwe. Dzieję się tak dlatego, że implementacje algorytmów szyfrujących zawierają błędy. Zdarzały się także celowe „osłabienia” mocy kryptograficznej kluczy przez to, że na w 128-bitowym kluczu 88 bitów było ustawiane na stałą wartość, a tylko 40 bitów było losowo generowane dla zestawianej sesji. Podobno tak było tylko dawniej… ale jakiś taki niesmak pozostał!

Nawet, jeżeli połączenie pomiędzy komputerem a witryną sieci Web jest zaszyfrowane, nie gwarantuje to w żaden sposób, że dana witryna jest godna zaufania. Prywatne informacje o użytkowniku, przesyłane do takiej witryny są nadal zagrożone, ze względu na sposób, w jaki witryna wykorzystuje, przechowuje lub przesyła dalej te informacje.

Czy połączenia bezpieczne są połączeniami prywatnymi?

Wprawdzie szyfrowana sesja gwarantuje bezpieczeństwo wymiany danych pomiędzy użytkownikiem i serwerem, ale nie gwarantuje prywatności. Administrator węzła pośredniczącego w połączeniu (np. routera w firmie) lub inny pośredni uczestnik połączenia, skanujący i obserwujący ruch w sieci, może ustalić, z jaką witryną sieci Web zostało nawiązane połączenie. Dzięki temu może domniemywać, lub wręcz domyśleć się, jaki jest cel działań użytkownika. Jeżeli na przykład użytkownik wykorzystuje firmowy komputer w celu poszukiwania nowej pracy, lub szuka zakazanych w firmie treści, pracodawca może śledzić słowa kluczowe podawane w witrynach serwisów pośrednictwa pracy lub prowadzić dziennik odwiedzanych witryn. Podczas przesyłania dokumentów do takiej witryny, lub ściągania np. filmów z sieci, sam przekaz może być zaszyfrowany, jednakże pracodawca może ustalić, że pracownik poszukuje nowej pracy lub nadużywa zasobów firmy.

Jak mogę sprawdzić, czy połączenie jest bezpieczne?

W trakcie bezpiecznego połączenia przeglądarka wyświetla ikonę kłódki lock. Ikona pojawia się na pasku stanu zabezpieczeń po prawej stronie paska adresu w IE, lub w dolnym prawym rogu okna przeglądarki FF, w której pasek stanu zabezpieczeń jest na lewo od adresu.

Certyfikat klucza publicznego serwera, używany do ochrony połączenia również zawiera informacje o tożsamości osoby lub organizacji będącej właścicielem witryny. Aby sprawdzić tożsamość witryny sieci Web, można kliknąć ikonę kłódki. Pojawi się okno wyświetlające informacje o certyfikacie zabezpieczeń serwera.

Dlaczego na pasku Stan zabezpieczeń widać różne kolory?

Po odwiedzeniu witryny sieci Web, która umożliwia bezpieczne połączenie, kolor paska Stan zabezpieczeń informuje o tym, czy certyfikat jest prawidłowy. Jest też na nim wyświetlana informacja o poziomie autentyczności witryny, określonym przez organizację weryfikującą.

W poniższej tabeli opisano znaczenie kolorów paska Stan zabezpieczeń.

Kolor

Znaczenie

Czerwony

Certyfikat utracił ważność, jest nieprawidłowy, nierozpoznany lub błędny.

Żółty

Nie można zweryfikować poprawności certyfikatu serwera lub urzędu certyfikacji, który go wystawił. To może oznaczać problem np. z dostępem do serwera sieci Web urzędu certyfikacji.

Biały

Wynik sprawdzania poprawności certyfikatu jest prawidłowy. Komunikacja między przeglądarką a witryną sieci Web jest szyfrowana. Certyfikat nie zawiera informacji o rozszerzonej weryfikacji tożsamości serwera. Urząd certyfikacji nie daje gwarancji w zakresie praktyk biznesowych witryny.

Zielony

Certyfikat zawiera atrybuty rozszerzonego zakresu sprawdzania tożsamości. Komunikacja pomiędzy przeglądarką a witryną jest szyfrowana, a urząd certyfikacji, który wystawił certyfikat do klucza serwera potwierdza, że właścicielem lub stroną obsługującą witrynę sieci Web jest naprawdę osoba lub firma wskazana w certyfikacie i na pasku Stan zabezpieczeń. Urząd certyfikacji nie daje jednak gwarancji w zakresie praktyk biznesowych witryny.

Co zrobić w przypadku podejrzenia, że witryna sieci Web próbuje zafałszować swoją tożsamość?

Jeśli istnieje uzasadnione podejrzenie, że witryna próbuje wprowadzić użytkownika w błąd, co do swojej tożsamości, należy skontaktować się z urzędem certyfikacji, którego nazwa jest wyświetlana w certyfikacie i na pasku Stan zabezpieczeń. Dobrą i ze wszech miar zalecaną praktyką w takim wypadku jest zakończenie połączenia z witryna w takim momencie i nie kontynuowanie prób połączenia do czasu wyjaśnienia wątpliwości, co do tożsamości serwera.

Jeżeli witryna sieci Web umożliwia bezpieczne transakcje, czy oznacza to, że korzystanie z niej jest bezpieczne?

Nie ma na to prostej odpowiedzi, ani tym bardziej gwarancji. Bezpieczne (szyfrowane) połączenie nie stanowi gwarancji bezpieczeństwa informacji. Połączenie takie potwierdza jedynie tożsamość witryny sieci Web na podstawie informacji dostarczonych przez urząd certyfikacji. Jednakże informacje osobiste użytkownika powinny być udostępniane wyłącznie znanym i zaufanym witrynom sieci Web.

Jak mogę zwiększyć bezpieczeństwo transakcji on-line?

Całkowitego bezpieczeństwa podczas korzystania z Internetu nie da się zagwarantować, jednakże korzystając ze znanych i zaufanych witryn można zminimalizować problemy związane z zachowaniem prywatności i bezpieczeństwem w sieci. Przeglądarka internetowa nie może sama ocenić, czy właściciel witryny sieci Web jest godny zaufania. Należy korzystać z witryn sprawdzonych wcześniej lub polecanych przez rodzinę lub zaufanych znajomych. Pomocne są także inne drogi dostępu do informacji o witrynie, np. papierowy dokument umowy z bankiem wskazujący adres witryny i cechy certyfikatu klucza publicznego. Należy również pamiętać, żeby włączyć w przeglądarce i programie zapory internetowej odpowiednie filtry, przeciwko wyłudzaniu informacji (ang. phishing), które pomagają w izolacji zidentyfikowanych, nieuczciwych witryn sieci Web.

Co to znaczy, że wyświetlana zawartość jest zarówno bezpieczna, jak i niezabezpieczona (mieszana)?

Zawartość bezpieczna i niezabezpieczona lub zawartość mieszana oznacza, że strona sieci Web próbuje wyświetlić elementy, korzystając zarówno z bezpiecznego połączenia (HTTPS), jak i z połączenia niezabezpieczonego (HTTP). Zjawisko to ma często miejsce w przypadku stron sklepów internetowych lub witryn instytucji finansowych, wyświetlających obrazy, nagłówki reklamowe lub uruchamiających skrypty pochodzące z niezabezpieczonego serwera.

Ryzyko, jakie niesie wyświetlanie zawartości mieszanej, polega na tym, że niezabezpieczona strona sieci Web lub skrypt może poprzez nieuczciwą lub nieprzemyślaną konstrukcję treści strony uzyskać nieautoryzowany dostęp do zawartości bezpiecznej.

Zwróćmy uwagę na fakt, że podczas uzyskiwania dostępu do bezpiecznych stron sieci Web przeglądarka korzysta z protokołu szyfrującego zwanego SSL (Secure Sockets Layer). W przypadku bezpiecznych stron adres URL na prefiks https://, podczas gdy w przypadku zwykłych stron stosuje się prefiks http://.

Podsumowanie i próba odpowiedzi na główne pytanie

Bezpieczeństwo połączenia sieciowego, realizowanego przez przeglądarkę internetową z witryną sieci Web łatwo zweryfikować upewniając się, że:

  • W polu stanu zabezpieczeń widnieje ikona zamkniętej kłódki,
  • Kolor paska stanu zabezpieczeń jest biały lub zielony; status certyfikatu jest opisany jako dobry lub zaufany,
  • Certyfikat, którego opis możemy zobaczyć klikając na ikonie kłódki lub pasku stanu zabezpieczeń pochodzi od wystawcy, któremu ufamy,
  • Ścieżka certyfikacji (hierarchia certyfikatów) wzbudza nasze zaufanie – wskazane w niej podmioty, są zgodne z naszymi przewidywaniami lub oczekiwaniami,
  • W polu Podmiot, w opisie certyfikatu znajduje się opis firmy lub osoby, na której serwis internetowy (stronę Web) zamierzaliśmy wejść,
  • Możemy zweryfikować tożsamość serwera (usługodawcy) na podstawie informacji godnych zaufania (np. z innego źródła niż Internet),
  • Jakość szyfrowania użyta przez przeglądarkę do zabezpieczenia połączenia wskazuje, że użyto klucza min. 128-bitowego. Połączenia zabezpieczone szyfrowaniem z kluczem 40-bitowym należy uznać za niezabezpieczone!

Tyle możemy wywnioskować na podstawie informacji pokazywanych przez przeglądarkę. Czy to wystarczy, żeby uznać wymianę informacji za bezpieczną musimy ocenić sami, pewni możemy być niestety tylko bezpieczeństwa połączenia!

Więcej o certyfikatach i bezpieczeństwie w sieci możecie dowiedzieć się z mojego blogu, e-booków i szkoleń.

Pozdrawiam moich Czytelników,

Andrzej J. Majewski

P.S. Inspiracją do napisania tego postu były materiały firmy Microsoft Inc.




 Blog  Memos



© 2007-2018 Ekademia.pl | Polityka Prywatności | Regulamin


Produkty i Szkolenia Online

Nie jesteś zalogowany(a) Zaloguj się Utwórz konto


forked from Moodle