Ligtas ba ang Splync Bakit Ito Gumagamit ng HTTPS

Nang inilabas ang MVP ng Splync, sinubukan ito ng ilan sa aking mga kaibigan sa totoong buhay. Nag-sign up sila gamit ang kanilang email at password, lumikha ng mga proyekto, at nagdagdag ng mga gastusin. Maayos naman ang lahat, maliban sa ilang maliliit na bug. Pero ang unang tanong nila ay hindi tungkol sa disenyo, features, o bilis. Tungkol ito sa seguridad. Mapagkakatiwalaan ba talaga nila ang Splync sa kanilang pang-araw-araw na tala ng gastusin? Isang makatarungan at mahalagang tanong ito. Ang personal na datos sa pananalapi ay napakasensitibo, at ang anumang app na humahawak nito ay dapat na ligtas.

Kailangan ng Splync ang Internet para makapag-link ng data ang mga user, magbahagi ng mga proyekto, at mapanatiling naka-synchronize ang mga gastusin sa iba't ibang device. Ibig sabihin, bawat numero at pindot mo ay dumadaan sa web bago makarating sa server. Kung walang proteksyon, sinumang nasa parehong Wi-Fi network ay pwedeng manood ng tahimik sa trapiko. Kaya gumagamit ang Splync ng HTTPS, hindi HTTP.

Noon, ang HTTP (Hypertext Transfer Protocol) ang pamantayang paraan ng komunikasyon sa Internet. Pero may seryosong problema ito: ipinapadala nito ang impormasyon bilang plain text. Parang isinulat mo ang iyong mga sikreto sa isang postcard imbes na ilagay sa sobre. Sinumang humawak ng mail—tauhan ng post office, courier, kahit isang estrangherong sumisilip sa bintana—ay mababasa lahat ng salita. Ganoon ang koneksyon “http” noong umpisa ng web. Umiiral ito, pero hindi pribado. Inaayos ito ng HTTPS sa pamamagitan ng paglalagay ng mensahe mo sa isang naka-encrypt na sobre na tanging ikaw at ang opisyal na server lang ang makakabukas.

Kapag binuksan mo ang Splync, nag-uusap agad ang iyong smartphone at ang aming server—pero hindi agad sila nagtitiwala sa isa't isa. Una, gumagawa sila ng isang maliit na ritwal na tinatawag na handshake. Parang dalawang estranghero na nagpapalitan ng ID bago magbahaginan ng sikreto. Sa handshake na ito, sinusuri ng iyong telepono ang digital na sertipiko ng server, na nagpapatunay na ito nga ang Splync at hindi impostor. Kapag na-establish na ang tiwala, parehong nagkakasundo sa isang pansamantalang lihim na susi—isang uri ng password na ginagamit lang para sa sesyong ito.

Mula sa sandaling iyon, lahat ng ipinapadala mo—iyong login, data ng proyekto, mga gastusin—ay sinisikap gamit ang susi na iyon. Kung may susubok na manghimasok sa signal, wala silang makikita kundi random na mga karakter, parang sinusubukang basahin ang usapan sa ilalim ng tubig. Lahat ng ito ay nangyayari ng awtomatiko, sa loob ng ilang milliseconds, sa bawat pagbukas mo ng app. Hindi mo ito nakikita, pero palaging nakaantabay ang HTTPS, tinitiyak na ang iyong pribadong datos ay mananatiling pribado. Kaya tinatawag natin itong invisible shield: tahimik itong gumagana sa likod, pero kung wala ito, ang Internet ay nanatili pa ring bukas na postcard na mundo.

Para maintindihan kung bakit mahalaga ang HTTPS, isipin ang isang simpleng eksena. Nasa isang café ka, nagkakape habang sinisilip ang iyong mga gastusin sa pampublikong Wi-Fi network. Kung walang HTTPS, bawat pindot mo—iyong email, password, kahit pangalan ng pribadong proyekto—ay dumadaan sa hangin bilang plain text. Sinumang malapit na may simpleng kagamitan ay maaaring manghimasok sa koneksyon at basahin ang lahat, linya sa linya. Tinatawag itong man-in-the-middle attack, at noong unang panahon ng Internet, napaka-karaniwan ito dahil karamihan ng mga website ay hindi nag-e-encrypt ng kanilang trapiko.

Ngayon, aktibong nagbabala ang mga browser sa mga user kapag ang isang site ay hindi protektado ng HTTPS. Kung makakita ka ng web address na nagsisimula sa "http://", iwasan ang paglagay ng anumang sensitibong impormasyon—ibig sabihin nito ay hindi naka-encrypt ang koneksyon. Laging suriin na nagsisimula ang URL sa "https://" at may maliit na icon ng lock sa tabi nito. Ang maliit na "S" sa HTTPS ay nangangahulugang Secure, at napakalaking bagay nito. Sinasabi nito na ang iyong data ay ligtas na dumadaan sa isang naka-encrypt na tunnel, hindi sa isang bukas na postcard.

Maaaring nagtatanong ka kung paano suriin ang URL ng isang app na kadalasang hindi nakikita. Ang mga modernong app ay dinisenyo para makipag-ugnayan gamit lamang ang secure na HTTPS request. Isinasama ng mga developer ang eksaktong address ng server sa loob ng source code ng app, at awtomatikong binablock ng sistema ang anumang hindi ligtas na "http://" na koneksyon. Halimbawa, sa iPhone, kinakailangan ng bawat app na gumamit ng HTTPS bilang default. Pinatupad ito ng Apple sa pamamagitan ng framework na tinatawag na App Transport Security (ATS), na tinatanggihan ang anumang hindi naka-encrypt na komunikasyon maliban kung may espesyal na kahilingan mula sa developer.

Ang sarili mong smartphone ang nagsisilbing guard, tinatanggihan ang anumang koneksyon na hindi naka-encrypt. Kaya kahit hindi mo nakikita ang URL, sa tuwing kumokonekta ang Splync sa aming server, ito ay dumadaan na sa parehong invisible shield ng HTTPS. Pinoprotektahan ng HTTPS ang daan sa pagitan ng iyong device at ng aming server. Pero paano naman ang server mismo? Diyan papasok ang susunod na paksa natin, ang SSH.