Biztonságos a Splync Miért használ HTTPS-t

Amikor a Splync elérte az MVP kiadását, néhány barátom élesben tesztelte az alkalmazást. Regisztráltak email címükkel és jelszavukkal, projekteket hoztak létre, és költségeket adtak hozzá. Minden jól működött, néhány kisebb hibát leszámítva. Az első kérdésük azonban nem a dizájnról, funkciókról vagy sebességről szólt, hanem a biztonságról. Valóban megbízhatnak-e a Splyncben a napi költségnyilvántartásaik kapcsán? Ez egy jogos és fontos kérdés. A személyes pénzügyi adatok rendkívül érzékenyek, és minden alkalmazásnak, amely kezeli őket, biztonságosnak kell lennie.

A Splyncnek szüksége van az internetre, hogy a felhasználók összekapcsolják adataikat, megosszák projektjeiket, és szinkronizálják a költségeiket eszközök között. Ez azt jelenti, hogy minden rögzített szám és minden gombnyomás az interneten keresztül utazik a szerverre. Védelem nélkül bárki, aki ugyanazon a Wi-Fi hálózaton ül, csendben figyelhetné ezt a forgalmat. Ezért használ a Splync HTTPS-t, nem HTTP-t.

A HTTP (Hypertext Transfer Protocol) egykor az internetes kommunikáció szabványa volt. De van egy komoly hibája: az információt sima szövegként küldi. Képzeld el, mintha a titkaidat egy képeslapra írnád boríték helyett. Bárki, aki kezeli a levelet—a postai alkalmazott, a futár vagy akár egy idegen az ablakon keresztül—elolvashatná minden szavadat. Az régi „http” kapcsolat ilyen volt az internet hajnalán. Működött, de nem volt privát. A HTTPS ezt úgy oldja meg, hogy a üzenetedet egy titkosított borítékba zárja, amit csak te és a hivatalos szerver tud megnyitni.

Amikor megnyitod a Splync-et, a telefonod és a szerverünk párbeszédbe kezd—de azonnal nem bíznak meg egymásban. Először végrehajtanak egy kis rituálét, amit kézfogásnak hívnak. Ez olyan, mint amikor két idegen személyit cserél a titkok megosztása előtt. Ebben a kézfogásban a telefonod ellenőrzi a szerver digitális bizonyítványát, amely bizonyítja, hogy valóban a Splync, és nem egy szélhámos. Miután a bizalom létrejött, mindkét fél megegyezik egy átmeneti titkos kulcsban—egy jelszóféleségben, amit csak erre az ülésre használnak.

Attól a pillanattól kezdve minden, amit küldesz—a bejelentkezésed, projektadataid, költségeid—a kulcs segítségével kódolt lesz. Ha valaki megpróbálná lehallgatni a jelet, csak véletlenszerű karaktereket látna, mintha egy víz alatt kiáltott beszélgetést próbálna elolvasni. Mindez automatikusan, pillanatok alatt történik, minden alkalommal, amikor megnyitod az alkalmazást. Sosem látod, de a HTTPS folyamatosan őrködik, biztosítva, hogy a privát adataid privátak maradjanak. Ezért hívjuk ezt láthatatlan pajzsnak: csendben dolgozik a háttérben, de nélküle az internet továbbra is egy nyitott képeslap világ lenne.

Ahhoz, hogy megértsd, miért fontos a HTTPS, képzelj el egy egyszerű szituációt. Egy kávézóban ülsz, kávét iszol, miközben egy nyilvános Wi-Fi hálózaton ellenőrzöd a költségeidet. HTTPS nélkül minden érintésed—az emailed, a jelszavad, még a privát projektnevek is—sima szövegként utazik a levegőben. Bárki a közelben, alapvető eszközökkel, lehallgathatná ezt a kapcsolatot, és soronként olvashatná el mindent. Ezt hívják man-in-the-middle támadásnak, és az internet kezdetén riasztóan gyakori volt, mert a legtöbb weboldal nem titkosította a forgalmát.

Ma már a böngészők aktívan figyelmeztetik a felhasználókat, ha egy weboldal nincs HTTPS-sel védve. Ha valaha látsz egy webcímet, ami "http://"-val kezdődik, kerüld el, hogy bármilyen érzékeny információt megadj—ez azt jelenti, hogy a kapcsolat nem titkosított. Mindig ellenőrizd, hogy az URL "https://"-val kezdődik-e, és hogy egy kis lakat ikon jelenik meg mellette. Az a kis "S" a HTTPS-ben a Secure (biztonság) rövidítése, és ez az, ami valóban számít. Ez azt jelzi, hogy az adataid biztonságosan, egy titkosított alagútban utaznak, nem pedig egy nyitott képeslapon.

Lehet, hogy kíváncsi vagy, hogyan ellenőrizheted egy alkalmazás URL-jét, ami általában láthatatlan. A modern alkalmazások úgy vannak tervezve, hogy csak biztonságos HTTPS kéréseken keresztül kommunikáljanak. A fejlesztők az alkalmazás forráskódjában adják meg a pontos szerver címet, és a rendszer automatikusan blokkol minden nem biztonságos "http://" kapcsolatot. Például, iPhone-on alapértelmezetten minden alkalmazásnak HTTPS-t kell használnia. Az Apple ezt az App Transport Security (ATS) nevű keretrendszeren keresztül kényszeríti ki, amely elutasít minden titkosítatlan kommunikációt, hacsak a fejlesztő nem kér kifejezett kivételt.

Maguk az okostelefonok is őrként működnek, elutasítva minden nem titkosított kapcsolatot. Tehát, még ha sosem is látod az URL-t, minden alkalommal, amikor a Splync csatlakozik a szerverünkhöz, máris a HTTPS láthatatlan pajzsán keresztül utazik. A HTTPS védi a készüléked és a szerverünk közötti utat. De mi a helyzet magával a szerverrel? Itt jön képbe a következő témánk, az SSH.