Je Splync bezpečný Proč používá HTTPS

Když Splync dosáhl svého MVP vydání, někteří moji přátelé aplikaci otestovali v reálném životě. Zaregistrovali se pomocí svého e-mailu a hesla, vytvořili projekty a přidali výdaje. Všechno fungovalo docela dobře, až na pár drobných chyb. Ale první otázka, kterou položili, se netýkala designu, funkcí ani rychlosti. Šlo o bezpečnost. Mohou Splync skutečně důvěřovat ohledně záznamů svých denních výdajů To je férová a důležitá otázka. Osobní finanční data jsou velmi citlivá a každá aplikace, která s nimi pracuje, musí být bezpečná.

Splync potřebuje internet ke spojování dat, sdílení projektů a synchronizaci výdajů mezi zařízeními. To znamená, že každé číslo, které zaznamenáte, a každé tlačítko, které stisknete, cestuje webem, než dorazí na server. Bez ochrany by kdokoli na stejné Wi-Fi síti mohl tiše sledovat tento provoz. Proto Splync používá HTTPS, ne HTTP.

HTTP (Hypertext Transfer Protocol) byl kdysi standardním způsobem komunikace po internetu. Má však vážnou chybu: posílá informace v prostém textu. Představte si, že byste psali své tajemství na pohlednici místo toho, abyste je vložili do obálky. Každý, kdo drží poštu — zaměstnanci pošty, kurýr, dokonce i cizinec nahlížející přes okno — by mohl číst každé slovo. Takto vypadala stará „http“ připojení na počátku webu. Fungovala, ale nebyla soukromá. HTTPS to řeší tím, že vaše zpráva je zapečetěna v zašifrované obálce, kterou může otevřít jen vy a oficiální server.

Když otevřete Splync, váš smartphone a náš server začnou komunikovat – ale ihned si nevěří. Nejprve provedou malý rituál zvaný handshake. Je to jako kdyby si dva cizinci vyměnili občanské průkazy před sdílením tajemství. Při této handshake vaše telefon kontroluje digitální certifikát serveru, který potvrzuje, že to opravdu je Splync a ne nějaký podvodník. Jakmile je důvěra navázána, obě strany se dohodnou na dočasném tajném klíči – jakémsi heslu používaném pouze pro tuto relaci.

Od tohoto okamžiku je vše, co posíláte – vaše přihlašovací údaje, data projektů, výdaje – šifrováno pomocí tohoto klíče. Pokud by někdo zkusil zachytit signál, viděl by jen náhodné znaky, jako by se snažil číst konverzaci křičenou pod vodou. To vše probíhá automaticky, během milisekund, pokaždé, když otevřete aplikaci. Nikdy to nevidíte, ale HTTPS neustále střeží vaše data, aby zůstala soukromá. Proto tomu říkáme neviditelný štít: funguje tiše na pozadí, ale bez něj by internet zůstával otevřeným pohledem na pohlednici.

Abyste pochopili, proč je HTTPS důležité, představte si jednoduchou scénu. Jste v kavárně, vychutnáváte si kávu a kontrolujete výdaje na veřejné Wi-Fi síti. Bez HTTPS každé klepnutí – váš email, vaše heslo, dokonce i názvy soukromých projektů – letí vzduchem v prostém textu. Kdokoli poblíž s jednoduchými nástroji by mohl tuto komunikaci zachytit a přečíst vše, řádek po řádku. Říká se tomu útok typu man-in-the-middle a na počátku internetu byl alarmujícím způsobem běžný, protože většina webů vůbec nešifrovala svůj provoz.

Dnes prohlížeče aktivně varují uživatele, když web není chráněn HTTPS. Pokud někdy uvidíte webovou adresu začínající "http://", vyhněte se zadávání jakýchkoli citlivých informací – znamená to, že připojení není šifrované. Vždy zkontrolujte, že URL začíná "https://" a vedle ní je malá ikona zámku. Ta malá "S" v HTTPS znamená Secure a dělá velký rozdíl. Říká vám, že vaše data cestují bezpečně uvnitř šifrovaného tunelu, nikoli na otevřené pohlednici.

Možná vás zajímá, jak zkontrolovat URL aplikace, která je obvykle neviditelná. Moderní aplikace jsou navrženy tak, aby komunikovaly pouze prostřednictvím zabezpečených HTTPS žádostí. Vývojáři specifikují přesnou adresu serveru v kódu aplikace a systém automaticky blokuje jakákoli nezabezpečená "http://" připojení. Například na iPhonu musí každá aplikace používat HTTPS ve výchozím nastavení. Apple to prosazuje prostřednictvím rámce zvaného App Transport Security (ATS), který odmítá jakoukoli nezašifrovanou komunikaci, pokud vývojář explicitně nepožádá o výjimku.

Váš smartphone sám funguje jako stráž, která odmítá jakékoli připojení, které není šifrované. Takže i když nikdy nevidíte URL, pokaždé, když Splync připojuje k našemu serveru, cestuje již přes tento neviditelný štít HTTPS. HTTPS chrání cestu mezi vaším zařízením a naším serverem. Ale co samotný server Na to se zaměříme v dalším tématu, SSH.