Onko Splync turvallinen? Miksi se käyttää HTTPS:ää

Kun Splync julkaistiin MVP-versionaan, eräät ystäväni testasivat sovellusta oikeassa elämässä. He rekisteröityivät sähköpostilla ja salasanalla, loivat projekteja ja lisäsivät kuluja. Kaikki toimi hyvin, lukuun ottamatta muutamia pieniä vikoja. Mutta ensimmäinen kysymys, jonka he esittivät, ei koskenut muotoilua, ominaisuuksia tai nopeutta, vaan turvallisuutta. Voivatko he todella luottaa Splynciin päivittäisten kulutustietojensa kanssa? Se on aivan aiheellinen ja tärkeä kysymys. Henkilökohtaiset taloustiedot ovat erittäin arkaluontoisia, ja mikä tahansa sovellus, joka käsittelee niitä, on oltava turvallinen.

Splync tarvitsee Internetin, jotta käyttäjät voivat linkittää tietoja, jakaa projekteja ja pitää kulut synkronoituna eri laitteiden välillä. Tämä tarkoittaa, että jokainen tallentamasi numero ja jokainen napauttamasi painike kulkee verkon kautta ennen kuin ne saavuttavat palvelimen. Ilman suojaa kuka tahansa samalla Wi-Fi-verkolla voisi seurata hiljaa tuota liikennettä. Tämä on syy, miksi Splync käyttää HTTPS:ää, ei HTTP:tä.

HTTP (Hypertext Transfer Protocol) oli aikoinaan standardi tapa kommunikoida Internetissä. Sillä on kuitenkin vakava puute: se lähettää tietoja selväkielisenä. Kuvittele kirjoittavasi salaisuutesi postikortille sen sijaan, että laittaisit ne kirjekuoreen. Kuka tahansa, joka käsittelee postia — postitoimiston henkilökunta, kuriiri tai jopa ikkunasta kurkistava ohikulkija — voisi lukea jokaisen sanan. Näin vanha "http"-yhteys toimi verkkosivustojen alkuvaiheessa. Se toimi, mutta ei ollut yksityinen.HTTPS korjaa tämän sulkemalla viestisi salattuun kirjekuoreen, jonka voi avata vain sinä ja virallinen palvelin.

Kun avaat Splyncin, älypuhelimesi ja palvelimemme alkavat keskustella — mutta ne eivät heti luota toisiinsa. Ensin ne suorittavat pienen rituaalin, jota kutsutaan kättelyksi. Se on kuin kaksi vierasta vaihtaisi henkilökortit ennen salaisuuksien jakamista. Tässä kättelyssä puhelimesi tarkistaa palvelimen digitaalisen varmenteen, joka todistaa, että se todella on Splync eikä huijari, joka teeskentelee meitä. Kun luottamus on luotu, molemmat osapuolet sopivat väliaikaisesta salaisesta avaimesta — eräänlaisesta salasanasta, jota käytetään vain tässä istunnossa.

Siitä hetkestä lähtien kaikki, mitä lähetät — kirjautumistietosi, projektisi, kulusi — salataan tuon avaimen avulla. Jos joku yrittäisi siepata signaalia, hän näkisi vain satunnaisia merkkejä, kuin yrittäisi lukea veden alla huudettua keskustelua. Tämä tapahtuu automaattisesti, millisekunneissa, joka kerta kun avaat sovelluksen. Et koskaan näe sitä, mutta HTTPS on jatkuvasti vartioimassa varmistaen, että yksityiset tietosi pysyvät yksityisinä. Siksi kutsumme sitä näkymättömäksi kilveksi: se toimii hiljaa taustalla, mutta ilman sitä Internet olisi yhä avoin postikorttimaailma.

Ymmärtääksesi, miksi HTTPS on tärkeä, kuvittele yksinkertainen tilanne. Olet kahvilassa, nautit kahvista samalla kun tarkistat kulujasi julkisessa Wi-Fi-verkossa. Ilman HTTPS:ää jokainen napautuksesi — sähköpostisi, salasanasi, jopa yksityiset projektien nimet — kulkevat ilmassa selväkielisenä. Kuka tahansa lähettyvillä yksinkertaisilla työkaluilla voisi siepata tuon yhteyden ja lukea kaiken, rivi riviltä. Tätä kutsutaan man-in-the-middle-hyökkäykseksi, ja Internetin alkuvaiheessa se oli hälyttävän yleistä, koska useimmat verkkosivustot eivät salanneet liikennettään lainkaan.

Nykyään selaimet varoittavat aktiivisesti käyttäjiä, kun sivusto ei ole suojattu HTTPS:llä. Jos koskaan näet verkkosivuston osoitteen, joka alkaa "http://", vältä syöttämästä mitään arkaluontoisia tietoja — se tarkoittaa, että yhteys ei ole salattu. Tarkista aina, että URL-osoite alkaa "https://" ja että sen vieressä näkyy pieni lukon kuvake. Tuo pieni "S" HTTPS:ssä tarkoittaa sanaa Secure, ja se tekee kaiken eron. Se kertoo, että tietosi kulkevat turvallisesti salatun tunnelin sisällä, ei avoimella postikortilla.

Saatat miettiä, miten tarkistaa sovelluksen URL-osoite, joka on yleensä näkymätön. Modernit sovellukset on suunniteltu kommunikoimaan vain turvallisten HTTPS-pyyntöjen kautta. Kehittäjät määrittävät sovelluksen lähdekoodiin tarkat palvelinosoitteet, ja järjestelmä estää automaattisesti kaikki turvattomat "http://"-yhteydet. Esimerkiksi iPhonessa jokaisen sovelluksen on käytettävä HTTPS:ää oletuksena. Apple valvoo tätä App Transport Security (ATS) -nimisen kehyksen kautta, joka hylkää kaikki salaamattomat yhteydet, ellei kehittäjä erikseen pyydä poikkeusta.

Älypuhelimesi toimii vartijana, joka kieltäytyy kaikista salaamattomista yhteyksistä. Joten vaikka et koskaan näe URL-osoitetta, joka kerta kun Splync yhdistää palvelimeemme, se kulkee jo tuon saman näkymättömän HTTPS-suojan kautta. HTTPS suojaa reitin laitteen ja palvelimemme välillä. Mutta entä itse palvelin? Tässä kohtaa tulee esiin seuraava aiheemme, SSH.