Este Splync sigur Îl folosește HTTPS

Când Splync a ajuns la versiunea sa MVP, câțiva dintre prietenii mei au testat aplicația în viața reală. S-au înregistrat cu e-mailul și parola lor, au creat proiecte și au adăugat cheltuieli. Totul a funcționat destul de bine, cu excepția câtorva erori minore. Dar prima întrebare pe care au pus-o nu a fost despre design, funcții sau viteză. A fost despre securitate. Ar putea avea încredere cu adevărat în Splync pentru a le gestiona zilnic înregistrările de cheltuieli? Aceasta este o întrebare corectă și importantă. Datele de finanțe personale sunt extrem de sensibile și orice aplicație care le gestionează trebuie să fie sigură.

Splync are nevoie de Internet pentru a permite utilizatorilor să lege date, să împărtășească proiecte și să mențină cheltuielile sincronizate pe dispozitive. Asta înseamnă că fiecare număr pe care îl înregistrezi și fiecare buton pe care îl apeși călătorește prin web înainte de a ajunge la server. Fără protecție, oricine stă pe aceeași rețea Wi-Fi ar putea urmări în liniște acest trafic. De aceea Splync folosește HTTPS, nu HTTP.

HTTP (Hypertext Transfer Protocol) a fost odată modalitatea standard de a comunica pe Internet. Dar are un defect serios: trimite informații în text simplu. Imaginează-ți că îți scrii secretele pe o carte poștală în loc să le sigilezi într-un plic. Oricine care manevrează corespondența—personalul poștei, curierul, chiar și un străin care se uită pe fereastră—ar putea citi fiecare cuvânt. Așa era vechea conexiune „http” în primele zile ale web-ului. Funcționa, dar nu era privată. HTTPS rezolvă aceasta prin sigilarea mesajului tău într-un plic criptat pe care doar tu și serverul oficial îl puteți deschide.

Când deschizi Splync, smartphone-ul tău și serverul nostru încep să comunice—dar nu au încredere unul în celălalt imediat. Mai întâi, efectuează un mic ritual numit strângere de mână. Este ca și cum doi străini își schimbă cărțile de identitate înainte de a împărtăși secrete. În acea strângere de mână, telefonul tău verifică certificatul digital al serverului, care dovedește că este cu adevărat Splync și nu un impostor care pretinde că suntem noi. Odată ce încrederea este stabilită, ambele părți sunt de acord asupra unei chei secrete temporare—un fel de parolă folosită doar pentru această sesiune.

Din acel moment, tot ce trimiți—datele de autentificare, datele proiectului, cheltuielile—este amestecat folosind acea cheie. Dacă cineva ar încerca să intercepteze semnalul, ar vedea doar caractere aleatorii, ca și cum ar încerca să citească o conversație strigată sub apă. Totul se întâmplă automat, în milisecunde, de fiecare dată când deschizi aplicația. Nu vezi niciodată asta, dar HTTPS este mereu de gardă, asigurându-se că datele tale private rămân așa—private. De aceea îl numim scutul invizibil: funcționează în liniște în fundal, dar fără el, Internetul ar fi încă o lume deschisă ca o carte poștală.

Pentru a înțelege de ce contează HTTPS, imaginează-ți o scenă simplă. Ești la o cafenea, savurând o cafea în timp ce îți verifici cheltuielile pe o rețea Wi-Fi publică. Fără HTTPS, fiecare atingere pe care o faci—e-mailul, parola, chiar și numele private ale proiectelor—călătorește prin aer în text simplu. Oricine din apropiere cu unelte de bază ar putea intercepta conexiunea și citi totul, linie cu linie. Se numește atac de tip „om-in-mijloc” și, în primele zile ale Internetului, era alarmant de comun pentru că majoritatea site-urilor nu își criptau deloc traficul.

Astăzi, browserele avertizează activ utilizatorii atunci când un site nu este protejat de HTTPS. Dacă vezi vreodată o adresă web care începe cu „http://”, evită să introduci orice informație sensibilă—înseamnă că conexiunea nu este criptată. Verifică întotdeauna ca URL-ul să înceapă cu „https://” și să apară o mică pictogramă de lacăt lângă acesta. Acel mic „S” din HTTPS înseamnă Secure și face toată diferența. Îți spune că datele tale călătoresc în siguranță într-un tunel criptat, nu pe o carte poștală deschisă.

Poate te întrebi cum poți verifica un URL al unei aplicații, care este de obicei invizibil. Aplicațiile moderne sunt concepute să comunice doar prin cereri HTTPS securizate. Dezvoltatorii specifică adresa exactă a serverului în codul sursă al aplicației, iar sistemul blochează automat orice conexiuni nesigure „http://”. De exemplu, pe iPhone, fiecare aplicație trebuie să folosească HTTPS în mod implicit. Apple impune acest lucru printr-o platformă numită App Transport Security (ATS), care respinge orice comunicare necriptată, cu excepția cazului în care dezvoltatorul solicită explicit o excepție.

Smartphone-ul tău acționează ca un gardian, refuzând orice conexiune care nu este criptată. Așadar, chiar dacă nu vezi niciodată URL-ul, de fiecare dată când Splync se conectează la serverul nostru, călătorește deja prin același scut invizibil al HTTPS. HTTPS protejează drumul dintre dispozitivul tău și serverul nostru. Dar ce zici de serverul în sine? Acolo intervine următorul nostru subiect, SSH.