Na internetu je snadné tvářit se jako někdo úplně jiný. Anonymní identity pak dávají prostor nezávaznému flirtování i přetvářce a zločinu. A netýká se to pouze lidí, stejně se mohou přetvařovat i samotné webové stránky. Prohlížeč Google Chrome nyní začal výrazněji upozorňovat na to, když webovým stránkám chybí základní prvky bezpečné komunikace.

Na stránkách, které nevyužívají modernější protokol HTTPS s šifrovaným přenosem dat, začal webový prohlížeč od Googlu přímo v adresním řádku varovat i zobrazením textu „Nezabezpečeno“. Doposud na absenci HTTPS připojení reagoval pouze šedou informační ikonou a varování o možných rizicích ukázal až po kliknutí myší na tuto ikonu.

Nové varování o nedostatečném zabezpečení se v současnosti ukazuje na řadě důležitých českých webů, jako je ten ministerstva vnitra, ČNB (Česká národní banka podle oficiálního vyjádření chystá novou verzi webu s plnou podporou HTTPS, nicméně přejít na chráněnou lze již nyní přepsáním http na https v adresním řádku), České televize, Českého rozhlasu či Blesku. Zabezpečení nemá v pořádku dokonce ani informační web platebního systému GP Webpay, chybí mu důvěryhodný certifikát, který slouží k ověření „pravosti“ webové stránky. Největší hříšníci po celém světě už mají i vlastní internetový „pranýř“

Chrome více hlídá zabezpečení webových stránek

Od Googlu jde o další krok v prosazování šifrované komunikace, další přijde v říjnu. Google na absenci zabezpečeného připojení začne upozorňovat červeným varujícím textem přímo v adresním řádku. Naopak zelená barva zámku na webech s šifrovaným spojením a platným důvěryhodným certifikátem zmizí, zůstane obyčejná černá. Ostatní rozšířené prohlížeče na absenci HTTPS zatím výrazněji neupozorňují, pouze zvýrazňují zelenou barvou zabezpečené stránky.

Rizika webů bez podpory šifrované komunikace jsou přitom značná. Jejich návštěvníky lze snadněji nalákat na falešné stránky, přes nešifrované připojení lze zobrazovat nežádoucí reklamy nebo dokonce na počítač nainstalovat škodlivý software. Nejčastěji podobná rizika hrozí při připojení přes veřejnou Wi-Fi, například v kavárně.

Veřejná ostuda globálně i stát po státu

Nezávisle na Googlu vznikl projekt Why No HTTPS. Ten nabízí seznam nejpoužívanějších webových serverů, které nemají dobře nastavené zabezpečení. To znamená, že nemají platný bezpečnostní certifikát, nepoužívají šifrovaný protokol HTTPS nebo obsahují další bezpečnostní nedostatky, které mohou ohrozit důvěrnost dat návštěvníků. Jeho autor, bezpečnostní analytik Troy Hunt, chce jeho prostřednictvím zvýšit povědomí o této problematice.

Z globálního přehledu je zřejmý rozdíl mezi většinou světa a Čínou. V komunistické velmoci je šifrování internetových připojení nežádoucí a zakazované, a čínské weby tak obsadily prvních pět míst v žebříčku největších webů bez řádného zabezpečení komunikace. HTTPS nepodporuje vyhledávač Baidu, obchodník JD a paradoxně ani čínský web Googlu. Nedostatečné zabezpečení webu má ale i americká verze BBC, web t.co, patřící Twitteru, nebo wiki platforma Wikia.com (neplést s Wikipedií).

Vedle seznamu 100 největších webů na světě, které nenabízejí HTTPS spojení, je na stránkách Why No HTTPS také seznam 50 největších webů podle jednotlivých států, odkud pochází i čeští hříšníci zmínění v úvodu článku. Největší pětku tvoří Blesk, Česká televize, Nova, Autoforum a Hellspy.

Seznam ale není kompletní a může obsahovat i nepřesnosti – zabezpečení webu se v některých případech mohlo už změnit, jindy například v závislosti na způsobu připojení dochází k alternativnímu spojení, které bezpečnostní náležitosti může splňovat. V případě českých webů je takovým falešným provinilcem web ministerstva zahraničních věcí. To je na seznamu také, ale při našem pokusu o připojení ukazuje zelený zámek. Vnitro je ale nebezpečné i při opakovaných pokusech z různých prohlížečů. Přehled webů státní správy bez odpovídajícího zabezpečení poskytuje jako jednu ze svých služeb i Hlídač státu.

Chrome více hlídá zabezpečení webových stránek