Меня побудило сделать этот пост сообщение, которое я получил сегодня от хорошего товарища из линуксовой кампании. После использования публичной сети общего доступа через некоторое время обнаружил, что из под его учётной записи по адресной книге рассылается спам. Если бы на его месте был бы неподкованный гражданин, то возможно никто ничего бы и не заметил. Что произошло и почему стоит об этом написать...
Каждый раз, когда мы пользуемся сетью с открытым доступом, скажем wifi в кафе, аэропорте или вокзале и пытаемся воспользоваться учётной записью на goolge, yandex, mail.ru или любой другой, которая требует передачи пароля, то этот пароль передаётся по сети. К сожалению, в большинстве случаев этот пароль передаётся в открытом виде. И если у организатора доступа есть склонность тырить пароли, то он в принципе легко может это сделать. Что и произошло в упомянутом выше случае. Переданные в незашифрованном виде пароли стали добычей злоумышленников.
Как можно защититься? Речь пойдёт не о всех случаях, а о веб-сервисах, которые на данный момент являются доминирующими. Общение приложения с веб-сервером может происходить при помощи двух базовых протоколах - HTTP и HTTPS. В случае использования второго протокола, пароли передаются в зашифрованном виде и перехватить их уже будет гораздо сложнее. При использовании протокола HTTPS (буква S в аббревиатуре от английского secure - "безопасный") появится пиктограмма в в виде замка. Вот как это выглядит в Chrome.
А так в Firefox 18.0.2. Помимо пиктограммы владельцы сайта twitter.com получили расширенный сертификат для своего сайта, который работает по протоколу HTTPS.
Facebook, GMail и Twitter работают с HTTPS по умолчанию. При желании можно уйти с безопасного соединения. К примеру, в GMail это выглядит так: справа вверху нажимаем на значок шестерёнки, выбираем Настройки и во вкладке Общие ищем раздел "Безопасность соединения", по умолчанию выбрано Использовать только https. В английском варианте это выглядит так:
Однако по умолчанию не все сервисы используют более безопасный протокол, например на почте Яндекса, нужно установить это значение самостоятельно. Возможно ситуация изменилась, но некоторое время назад совершенно точно необходимо было "вручную" указать необходимость использования HTTPS.
Да, заодно и о значках. Как Вы видите пиктограмма замка несколько иная. В данном случае она обозначает, что не все компоненты даной страницы используют безопасный протокол. Более подробную информацию о причинах предупреждения можно получить нажав мышкой на пиктограмме.
ВКонтакте по умолчанию всё передаёт открытым текстом. Однако, если каждый раз явно указывать в адресной строке браузера https://vk.com/ или https://m.vk.com/, то можно себя обезопасить. Вобщем, спасение утопающих дело рук самих утопающих. Если кто-то знает, как это настраивается в постоянно меняющимся интерфейсом контакта буду рад узнать. (UPD: http://vk.com/settings ныне позволяет поставить галку "Всегда использовать безопасное соединение") Пока вопрос безопасного соединения в данном приходится решать при помощи тайного знания о возможностях браузера chrome и его реплик: по секретному адресу chrome://net-internals/#hsts
можно добавить домен vk.com со всеми поддоменами для того, чтобы браузер форсировал использование протокола HTTPS при соединении с сайтами на данным домене.
Mail.ru - также предоставляет возможность использования безопасного протокола HTTPS. Уж не знаю по умолчанию или нет, проверьте свои настройки по справке о настройках безопасности сервиса http://help.mail.ru/mail-help/settings/security.
Конечно это не все веб-сервисы, которые есть на белом свете. Если Вы можете дополнить список рассказом о том, как в веб-сервисе N включить поддержку HTTPS по умолчанию, то я вместе с захожими читателями буду Вам благодарен.
Резюме. Использование незащищённего соединения при доступе к веб-сервису из публичных мест может привести к тому, что Ваши учётные данные попадут в руки злоумышленников со всеми вытекающими. Защитить свои данные можно форсировав использование защищённого протокола, который не даст возможности перехватить Ваши пароли в сети общего доступа. Плата за использование HTTPS - больший объём передаваемого траффика, как следствие, несколько более медленная загрузка данных.
Самый удобный способ форсировать использование HTTPS - изменить настройки самого веб-сервиса, когда он эту возможность предоставляет. Это позволит обращаться к сервисам с любых устройств без дополнительных неудобств в виде явного указания протокола. В некоторых случаях возможно форсировать использование HTTPS из браузера Chrome и его клонов (chromium, Яндекс.Браузер, нихром). Если веб-сервер сайта вообще не поддерживает HTTPS то этот способ ничего не даст, ну и очевидно, что данный способ исключительно привязан к данному семейству браузеров.
И напоследок - если Вы не уверены, что ВСЕГДА используется безопасное соединение при работе с вашими выбранными веб-сервисами, то сейчас самое время проверить. И напоследок - если в течении последнего года Вы не меняли пароль к своей учётной записи, но пользовались сетями открытого доступа, то самое время выбрать новый надёжный пароль, хорошенечко запомнить его и сменить. (про пароли тут)
Комментариев нет:
Отправить комментарий