Univerzita Tomáše Bati ve Zlíně

Otevřít navigaci

Kapitola 3 – Bezpečné používání webů

Webové stránky se používají k mnoha činnostem. Je důležité vědět, kde jsou uložené a že se k nim přistupuje pomocí tzv. webového prohlížeče. Do adresní řádky webového prohlížeče je třeba správně zadat adresu webové stránky, abychom komunikovali s tou stránkou, s kterou opravdu komunikovat chceme.

1. Úvod

Webové stránky lidé používají k mnoha činnostem, jako třeba ke čtení zpravodajství, blogů, ke komunikaci s přáteli, k prohlížení obrázků a videí a samozřejmě také k pracovním záležitostem. Zobrazovaný obsah je uložen na mnoha místech po celém světě, na tzv. webových serverech. Přístup k obsahu je zprostředkován specializovanou aplikací – webovým prohlížečem, který zobrazí obsah umístěný na adrese zadané do adresní řádky.

Správnost zadané adresy je důležitá, ale sama o sobě nestačí, abychom mohli bezpečně komunikovat. Také bychom nebyli rádi, kdyby do komunikace mohl někdo vstoupit a číst ji nebo ji dokonce pozměňovat, proto je potřeba přenášená data šifrovat. Dále je třeba ověřit, že šifrovaně komunikujeme skutečně s tím, s kým komunikovat chceme. K tomuto účelu slouží certifikáty, kterými nám certifikační autorita potvrzuje, že daný certifikát patří k danému webu, případně dokonce i jaké organizaci.

2. Používání webu

V dnešní době, když chcete používat e­mailovou schránku, přehrávat videa, hudbu, posílat velké soubory nebo používat internetové bankovnictví, nemusíte mít pro každou činnost zvláštní aplikaci, ale je možné používat prakticky vše ve webovém prohlížeči, který je často již předinstalován v operačním systému (Internet Explorer, Edge, Google Chrome, Opera, Mozilla Firefox, Safari a další).

Pro využívání webových aplikací je potřeba pouze znalost internetové adresy a samozřejmě síťové připojení (intranet, Internet). Po vyplnění adresy do adresního řádku a načtením stránky (webu) se webová aplikace spustí.

Často je třeba se na úvod přihlásit (autentizovat), tj. zadat jméno a heslo nebo jiným způsobem prokázat svou identitu (viz kapitola Kdo jsem a co smím).

3. Co je to web

Web je tvořen množstvím webových serverů rozmístěných po celém světě. Webový server je výkonný počítač a každý takový počítač vždy poskytuje nějaký obsah ­ data. Některý obsahuje jízdní řády, jiný zase internetové bankovnictví konkrétní banky, zpravodajství, archivy televizního vysílání apod. Ten, kdo data požaduje, musí znát adresu serveru, který data poskytuje. Musí být také schopen o data požádat a přijmout je. Program, který umožňuje připojit se k serveru a komunikovat s ním, se obecně nazývá klient. Klient odesílá serveru požadavek a čeká na jeho odpověď. V případě webu je klientem webový prohlížeč a odpovědí serveru je webová stránka.

Web je tak rozsáhlý, že o obsah a chování webů se musí starat mnoho lidí. Různí lidé mají také různě odpovědný přístup, a proto je i kvalita webů a jejich obsahů různá. O tom, jak se k věrohodnosti informací z webu stavět, si můžete přečíst v kapitole Informace a Internet.

Nyní se ale soustřeďme na to, jak poznat, na kterém webu se zrovna nacházíme nebo kam vede odkaz, který jsme dostali. Každý webový server má přiděleno unikátní doménové jméno, pomocí nějž je možné jej jednoznačně odlišit od ostatních. Zpravidla lze ještě serveru upřesnit, co od něj chceme, tím, že za adresu v adresní řádce webového prohlížeče zapíšeme patřičné parametry. Tyto parametry jsou zpravidla generovány automaticky webovou aplikací a není potřeba je jakkoli editovat, jen je potřeba chápat jejich přítomnost a důležitost.

4. Co je to webová adresa (URL)

Webová adresa je přesný identifikátor toho, co má webový prohlížeč zobrazit. Můžete se setkat také s pojmem URL (Uniform Resource Locator, jednotná adresa zdroje).

Webová adresa je složena z několika částí:

protokol://doménové_jméno/umístění_na_serveru?parametry#kotva

Webový prohlížeč ovládá několik různých způsobů komunikace (tzv. protokoly), kterými se umí domluvit s webovými servery. Protokol je v URL krátký text uvedený před dvojtečkou a dvěma lomítky. Pokud žádný neuvedete, prohlížeč si vybere podle nastavení serveru. Protokolům se budeme blíže věnovat později.

Následuje doménové jméno webového serveru, což je nejdůležitější informace, protože podle ní lze poznat, ze kterého serveru jsou zobrazovaná data. Pro zajištění jednoznačnosti jsou doménová jména přidělována hierarchicky (obdobně jako IP adresy – viz kapitola Anonymita na Internetu). Každé doménové jméno se skládá z několika textových řetězců oddělených tečkou, například www.czu.cz. Stejně jako u běžné poštovní adresy jsou nejobecnější informace na konci (Jan Novák, Pražská 123, Praha). Poslední řetězec v doménovém jméně je tzv. doména nejvyššího řádu (TLD, Top Level Domain) a odpovídá často zemi, kde je webový server fyzicky umístěn (.cz, .sk apod.) nebo má určovat způsob použití (.info, .name, .com apod.). Další řetězce se nazývají podle svého pořadí od konce, tj. zcu.cz je doména druhého řádu, bezpecnost.czu.cz je doména třetího řádu atd. Jejich interpretace záleží na politice správce příslušné TLD. Například český správce CZ.NIC umožňuje, aby si kdokoliv mohl pořídit doménu druhého řádu, zatímco ve Velké Británii až doménu třetího řádu podle charakteru žadatele (doména druhého řádu je přidělena, např. co.uk). Ve chvíli, kdy fyzická osoba nebo organizace získá svou doménu, může si sama vytvářet další subdomény (např. vlastník czu.cz si může vytvořit www.czu.cz, aktualne.czu.cz apod.).

Na webové adrese se také může nacházet více dokumentů nebo webových aplikací, které lze odlišit pomocí „umístění_na_serveru“. Ve webové adrese je toto umístění uvozeno lomítkem a nemusí být vždy přítomno.

Pomocí webové adresy můžeme také předávat určité parametry (například pozici na mapě, předvyplněná políčka ve webovém formuláři apod.), které jsou uvozeny znakem otazníku a také nemusí být vždy přítomny.

Poslední částí je tzv. kotva uvozená znakem mřížky. Kotva typicky označuje místo na dlouhých stránkách, které se nevejdou na jednu obrazovku, a webovému prohlížeči říká, kterou část stránky má zobrazit (jak moc ji má posunout/odrolovat).

Důležitost doménového jména

Přesnost doménového jména je důležitá, protože při záměně byť jen jednoho písmena způsobí, že se webový prohlížeč dostane na úplně jiný webový server. V lepším případě dané jméno nebude existovat, v horším je to podvodná stránka, která se snaží vydávat za správnou.

Příklad:

  • https://google.com
    • Správná adresa Google
  • https://goog1e.com
    • Jednička místo malého písmene “L”.
  • https://g00gle.com
    • Nula místo písmene “o”.

Všimněte si, že jednotlivé domény, ať už doména nejvyššího řádu, doména druhého řádu, případně subdomény jsou od sebe odděleny tečkou. Tečka je tedy jediný správný oddělovač a jiný znak na místě oddělovače způsobí, že se dostaneme na webový server, kam jsme nechtěli.

Příklad:

  • http://apple.com/iphone
    • Dostaneme se na server apple.com do adresáře iphone.
  • http://apple.com-iphone.com
    • Dostanete se na server com-iphone.com, na subdoménu apple.

Zkracovače URL

Často je webová adresa dlouhá a špatně by se pamatovala, tiskla nebo diktovala, proto vznikly tzv. zkracovače adres, které jsou dostupné jako webová služba. Jako příklad uvedeme bitly.com nebo jde nahradit aliasem webové stránky.

Příklad:

  • Hlavní stránka Centra výpočetní techniky
    • https://www.utb.cz/cvt/about/
  • Zkrácený odkaz pomocí bitly.com
    • https://bit.ly/48VBaDh

Zkracovačů mohou využít také útočníci, kteří chtějí před potenciální obětí skrýt skutečnou adresu. Před kliknutím na zkrácený odkaz je potřeba zobrazit skutečnou adresu, na kterou zkrácený odkaz vede například zde: http://www.checkshorturl.com/

Protokoly

Způsob, jakým spolu webový prohlížeč a webový server komunikuje, se označuje jako protokol a ve webové adrese je uveden jako první položka. Základním protokolem je HTTP (hypertext transfer protocol), který slouží k přenosu hypertextových dokumentů HTML, XML a obecně i dalších souborů. Jeho nevýhodou je, že data jsou přenášena v nešifrované podobě, tj. jsou čitelná po celou dobu přenosu.

Vzhledem k tomu, že web je distribuován po celém světě a data tečou přes různé počítačové sítě, může je cestou někdo vidět nebo dokonce měnit. Proto je potřeba přenášená data šifrovat.

Do nešifrované komunikace je velmi snadné zasahovat

Například pokud se přihlásíte k otevřené veřejné bezdrátové síti (tzv. free wi­fi hotspot), může vám její poskytovatel vkládat reklamu do zobrazovaných stránek. Letištní wi­fi hotspoty jsou tím pověstné.

Šifrovanou komunikaci zajišťuje protokol HTTPS (hypertext transfer protocol secure), díky kterému je komunikace čitelná (dešifrovatelná) pouze pro server a daný webový prohlížeč. Pokud jsou na webové stránce zadávány důvěrné informace, jakými mohou být třeba přihlašovací údaje, vždy je nutné komunikovat šifrovaně, tedy protokolem HTTPS. Webový prohlížeč nás ujišťuje o použití protokolu HTTPS další signalizací – typicky ikonou visacího zámku před URL.

5. Webové certifikáty

Samotné šifrování ještě nestačí, ještě je potřeba mít jistotu, že bezpečně komunikujeme s tím správným protějškem, protože i falešný web může být provozovaný šifrovaně, tedy na protokolu HTTPS. Jinými slovy, je potřeba mít nějakým způsobem ověřeno, že používané šifrovací klíče (viz kapitola Šifrování a elektronický podpis) patří našemu cílovému serveru. K tomuto ověření slouží tzv. webové certifikáty, které vydávají certifikační autority (dále jen CA), což jsou důvěryhodné instituce, kterým věříme.

Podle toho, jak důkladně CA ověřila vlastníka domény, vystaví typ webového certifikátu. Základním ověřením je, že žadatel může ovlivňovat obsah domény, ale CA již neověřuje identitu žadatele. V takovém případě certifikační autorita vystaví tzv. DV (Domain control Validation) certifikát. S tímto typem certifikátu se lze setkat nejčastěji. Certifikační autorita ale může také ověřovat vlastníka daného serveru, například telefonuje na vybraná telefonní čísla, vyžaduje písemné vyjádření, apod. V takových případech pak vystaví OV (Organization Validation) certifikát v případě zběžného ověření, nebo EV (Extended Validation) certifikát v případě důkladného ověření.

Může se vám zdát, že musíte být odborníkem s mnohaletou praxí, abyste vše dokázali ověřit, ale není tomu tak. Ve skutečnosti stačí pouze naslouchat svým webovým prohlížečům a vědět, co si ohlídat. Takový webový prohlížeč totiž za nás udělá mnoho práce sám. Stačí mu zadat správnou adresu webu, který chcete prohlížet, a sám si domluví šifrovací klíče, ověří platnost certifikátu, šifruje komunikaci, a pokud je něco v nepořádku, navíc vás ještě varuje. Po kliknutí na ikonu zámečku, indikující, že komunikujeme šifrovaně, je možné si prohlédnout certifikát, kde je uveden termín konce platnosti, jaká certifikační autorita jej vydala a v případě OV a EV certifikátů také identifikace vlastníka.

Při prohlížení webových stránek je možné se setkat s hlášením webového prohlížeče, že je certifikát neplatný, obvykle vypršela jeho platnost a administrátor webu včas nezajistil jeho obnovu. Aby bylo možné říci, co v konkrétním případě způsobuje varovné hlášení, je potřeba detailnější porozumění problematice. Obecně platí, že pokud webový prohlížeč hlásí jakýkoliv problém s certifikátem webové stránky, neměli bychom na takovou stránku pokračovat. Prohlížeč vás také může upozornit, že se chystáte zadat heslo do stránky komunikující nešifrovaně, tedy po HTTP. Pokud se tak stane, předmětná stránka bude pravděpodobně podvodná, protože dnes již žádný rozumný administrátor přihlašovací stránky na protokolu HTTP neprovozuje.

6. Shrnutí

V této kapitole jsme se dozvěděli, že web je tvořen mnoha samostatnými servery a že k jeho prohlížení slouží webový prohlížeč. Dále víme, že webová adresa (URL) určuje, jaký obsah prohlížeč zobrazuje, a že její první část prozrazuje, na jakém webovém serveru se vlastně nacházíme, což umožňuje rozpoznat podvodnou webovou adresu.

Nyní již také víme, že důležité informace (například přihlašovací údaje) je potřeba přenášet šifrovaně. Skutečnost, že daná webová stránka používá šifrovanou komunikaci, nám sděluje náš webový prohlížeč – obvykle ikonou zámečku a/nebo zobrazením použitého protokolu HTTPS před adresou webové stránky. K ověření, že komunikujeme se správným protějškem, slouží webové certifikáty, které mohou mít různou úroveň ověření vlastníka domény.

Každopádně webový prohlížeč je schopen zařídit téměř všechny činnosti potřebné pro bezpečné prohlížení webových stránek, a když mu něco přijde podezřelé nebo si neví rady, upozorní vás. Naslouchejte tedy svému prohlížeči, pomáhá vám.

Fakulty a součásti

Zavřít