Er Splync trygt? Hvorfor bruker det HTTPS

Da Splync nådde sin MVP-utgivelse, testet noen av vennene mine appen i virkeligheten. De registrerte seg med e-post og passord, opprettet prosjekter og la til utgifter. Alt fungerte ganske bra, bortsett fra noen få mindre feil. Men det aller første spørsmålet de stilte, var ikke om design, funksjoner eller hastighet. Det handlet om sikkerhet. Kunne de virkelig stole på Splync med sine daglige utgifter? Det er et rettferdig og viktig spørsmål. Personlige økonomidata er svært sensitive, og enhver app som håndterer dem, må være sikker.

Splync trenger Internett for å la brukere koble data, dele prosjekter og holde utgifter synkronisert på tvers av enheter. Det betyr at hvert tall du registrerer og hver knapp du trykker på, reiser gjennom nettet før de når serveren. Uten beskyttelse kunne hvem som helst på samme Wi-Fi-nettverk stille se den trafikken passere. Dette er grunnen til at Splync bruker HTTPS, ikke HTTP.

HTTP (Hypertext Transfer Protocol) var en gang standardmåten å kommunisere over Internett på. Men det har en alvorlig svakhet: det sender informasjon i klartekst. Tenk deg å skrive hemmelighetene dine på et postkort i stedet for å forsegle dem i en konvolutt. Alle som håndterer posten - postkontoransatte, budet, til og med en fremmed som titter gjennom et vindu - kunne lese hvert ord. Det var slik den gamle "http"-forbindelsen var i internettets tidligste dager. Den fungerte, men var ikke privat. HTTPS løser dette ved å forsegle meldingen din inne i en kryptert konvolutt som bare du og den offisielle serveren kan åpne.

Når du åpner Splync, begynner smarttelefonen din og serveren vår å kommunisere—men de stoler ikke på hverandre med en gang. Først gjennomfører de et lite ritual kalt en håndtrykk. Det er som om to fremmede utveksler ID-kort før de deler hemmeligheter. I det håndtrykket sjekker telefonen din serverens digitale sertifikat, som beviser at det virkelig er Splync og ikke en bedrager som later som om det er oss. Når tilliten er etablert, blir begge parter enige om en midlertidig hemmelig nøkkel—en slags passord som bare brukes for denne sesjonen.

Fra det øyeblikket blir alt du sender—din pålogging, dine prosjekdata, dine utgifter—kryptert ved hjelp av den nøkkelen. Hvis noen prøvde å avlytte signalet, ville de sett ingenting annet enn tilfeldige tegn, som å prøve å lese en samtale ropt under vann. Dette skjer automatisk, i løpet av millisekunder, hver gang du åpner appen. Du ser det aldri, men HTTPS står konstant vakt, og sørger for at dine private data forblir nettopp det—private. Det er derfor vi kaller det den usynlige skjoldet: det jobber stille i bakgrunnen, men uten det ville Internett fortsatt vært en åpen postkortverden.

For å forstå hvorfor HTTPS er viktig, forestill deg en enkel scene. Du er på en kafé, nyter kaffe mens du sjekker utgiftene dine på et offentlig Wi-Fi-nettverk. Uten HTTPS reiser hver berøring du foretar—din e-post, ditt passord, til og med private prosjektnavn—gjennom luften i klartekst. Hvem som helst i nærheten med enkle verktøy kunne avlytte den forbindelsen og lese alt, linje for linje. Det kalles et man-in-the-middle-angrep, og i internetts tidlige dager var det alarmerende vanlig fordi de fleste nettsteder ikke krypterte trafikken sin i det hele tatt.

I dag advarer nettlesere aktivt brukere når et nettsted ikke er beskyttet av HTTPS. Hvis du noen gang ser en nettadresse som starter med "http://", unngå å skrive inn sensitiv informasjon—det betyr at forbindelsen ikke er kryptert. Sjekk alltid at URL-en begynner med "https://" og at et lite låseikon vises ved siden av det. Den lille "S" i HTTPS står for Secure, og det gjør hele forskjellen. Det forteller deg at dataene dine reiser trygt inne i en kryptert tunnel, ikke på et åpent postkort.

Du lurer kanskje på hvordan du sjekker en URL i en app, som vanligvis er usynlig. Moderne apper er designet for å kommunisere kun gjennom sikre HTTPS-forespørsler. Utviklere spesifiserer den nøyaktige serveradressen i appens kildekode, og systemet blokkerer automatisk alle usikre "http://"-forbindelser. For eksempel, på iPhone må hver app bruke HTTPS som standard. Apple håndhever dette gjennom en ramme kalt App Transport Security (ATS), som avviser all ukryptert kommunikasjon med mindre utvikleren eksplisitt ber om unntak.

Smarttelefonen din fungerer som en vakt, og nekter enhver forbindelse som ikke er kryptert. Så selv om du aldri ser URL-en, reiser Splync hver gang den kobles til vår server gjennom det samme usynlige skjoldet av HTTPS. HTTPS beskytter veien mellom enheten din og vår server. Men hva med selve serveren? Det er der vårt neste tema, SSH, kommer inn.