Bezpečnost na straně klienta

Publikováno 22.03.2008 v kategorii Metodika. Trvalý odkaz permalink. RSS kanál pro sledování komentářů.

Phishing, Identity theft a další nové kybernetické zločiny jsou v poslední době hitem internetu. Když se na nějakém webu objeví díry typu SQL Injection a XSS tak je to odborníkům spíše k smíchu, protože moderní vývojářské technologie proti těmto praktikám bojují samy od sebe a v drtivé většině jenom neznalost základních faktů a hloupost umožňují, že se neustále objevují.

Server-side security je prostě z mého pohledu vyřešená. Prostředky jak se 99% útoků bránit jsou jednoduché a tomu zbytku se jde bránit jenom velmi těžce. Řeknu-li to jinak, tak pokud se dá stránka hackout pomocí SQL injection nebo XSS je čistě blbost dodavatele/provozovatele. Tomu, že vám někdo nakonec hackne captchu, nezabráníte, ani kdyby jste se rozkrájeli.

Na straně klienta je to něco jiného. Nad člověkem, který vaši službu používá nemáte v podstatě žádnou kontrolu. Jediný bezpečnostní prvek na klientské straně je autentifikace, čili nějaký proces, kterým se propojí klient a jeho uživatelká data na straně aplikace. Většinou to vypadá tak, že zadáte jméno nebo email a heslo. Tomu se většinou říká jednoduchá autentifikace. Přidání dalších fází identifikace uživatele se bezpečnost svyšuje.

Bankovní sektor pomalu přechází na dvoustupňovou autentifikaci (někteří dokonce na 2 a půl stupně). Jak to vypadá?

  • 1. stupeň: Uživatel něco ví (např. jméno a heslo).
  • 2. stupeň: Uživatel něco má (např. mobilní telefon na který mu je zasláno další heslo s omezenou platností).
  • 2,5. stupeň: Uživatel má ještě něco jiného (třeba šivrovací certifikát nebo čipovou kartu).

Vícestupňová autentifikace sice radikálně zvyšuje bezpečnost na straně klienta, ale její spolehlivost je taky diskutabilní a ještě k tomu snižuji použitelnost aplikace. Její nutnost vyšla najevo poté co lidem na staně serveru došlo, že:

  • Lidé jsou hloupí a nepamatují si složitá hesla
  • Lidé jsou líní a i jednoduchá hesla si píší na papírky a lepí na monitor

Toto se nidky nezmění. Běžný uživatel zůstane běžným uživatelem a klidně si jako heslo zvolí jméno svého psa. O důležitosti zvolit si bezpečné heslo můžeme uživatele školit jak chceme, ale 80% z nich stejně pořád bude mít hesla jednoduchá a ti co si zvolí složité je buď zapomenout nebo si je nějkam napíšou. Hesla se prosťě ztrácejí stejně tak jako mobily a míra škod způsobených útoky na iternetové bankovnictví v americe radikálně roste. V čechách zatím trpí jenom Česká spořitelna, ale zato docela často.

A východisko? Jediné co mě napadá je biometrika. Ke všem svým počítačům se přihlašuji pomocí čtečky otisků prstů a heslo mám nastavené bezpečné a málem si ho už taky ani nepamatuju. Jak to ale přenást na web?

Jednou možností je nastavovat si bezpečná hesla a nechat čtečku otisků je vyplňovat za nás na základě ověření otisku. To je ale spíše work-around než skutečné řešení. Moderní browsery se asi skutečně budou muset stát pravou aplikační platformou a pokud výrobci hardwaru přijdou se standardním API pro práci se čtečkami bio-údajů tak, aby browser nemusel řešit ovladače a podobné blbosti, snad se jednou dožijem bezpečnějšího webu.

 

Komentáře

 
Zatím zde není žádný komentář.
 

Přidej komentář

 
Povinná pole jsou vyznačena tučně.