Věříte svému poskytovateli, správci, pokladní a programátorovi? Aneb „Věř, a komu věříš měř!“
Moje babička vyznávala jednoduchou a radikální životní filosofii: Cizím lidem nevěřila a apriori k nim přistupovala s přesvědčením, že to s ní myslí špatně, že ji chtějí podvést a že mají za lubem nějakou levárnu. Výjimky téměř nepřipouštěla a v jejím světě neexistovalo nic jako třeba „prodavačka se spletla“. Vždy a zásadně ji chtěla okrást, a to schválně! Tedy ono se nelze moc divit – zažila válku a zažila vládu komunistů, to člověku na důvěře nepřidá. Na druhou stranu mne občas překvapilo, že i tak ostražitá paní občas naletěla na velmi průhledné triky („Vyhrála jste milion korun…“), ale to je jiná věc. Toto přesvědčení mou babičku zcela jistě uchránilo od mnohých životních nepříjemností. Na druhou stranu zase nepoznala některé věci, které jsou na důvěře v solidnost druhého založené.
Na životní filosofii svojí babičky jsem si vzpomněl před několika dny, když jsem četl reakce na článek o OpenID. Naštěstí už v diskusi nepadaly ty největší bludy, takže bych si možná i skoro pogratuloval k úspěšné osvětě, na druhou stranu vytáhli odpůrci OpenID argument hodný mojí babičky. Zní asi takto: OpenID provider (tedy ten, kdo ověřuje identitu) má z definice možnost zjistit, kam který uživatel chodí, a má právo prohlásit, že ten či onen je oprávněný uživatel. Tudíž jednak může sledovat moje „návyky“, jednak může zfalšovat identitu (bude-li chtít) a někdo „od nich“ se může přihlásit jako já a zneužít to. Plus samosebou může tohle všechno prodat někomu jinému. A jako by v pozadí znělo: „Když to mohou udělat, tak to taky udělají, ergo je to celé špatné a nedůvěryhodné“.
Nojo, je to tak. Tohle všechno se může opravdu stát. Pro moji babičku by to byl dostatečný důvod k tomu, aby prohlásila, že OpenID (jako takové) je na nic a ji do toho nedostanou (což ostatně prohlásila i o kině, letadle, Matesu, předplatném na časopisy, vlašském salátu a dalších věcech). Mně ale, nezlobte se, ten argument připadá scestný. Připadá mi scestné prohlásit o technologii že je špatná jen proto, že je postavena na důvěře, kterou může někdo zneužít, když bude chtít.
On je totiž na důvěře postaven celý internet, a kdybychom se drželi jen technologií a služeb, kde není potřeba „důvěry“ a které nelze zneužít, tak musíme uříznout síťový kabel a počítač nezapínat. Projděte si se mnou třeba takový běžný nákup přes internet.
Zapnete počítač s internetovým připojením, otevřete prohlížeč a zadáte adresu svého oblíbeného e-shopu. Přitom věříte, že autoři vašeho prohlížeče do něj nedali nic, co by vás sledovalo a co by zároveň s požadavkem na stránku e-shopu neposlalo oznámení „XY leze tam a tam“. Že používáte open-source Firefox? Hm, a přeložili jste si ho sami ze zdrojových kódů? Hm… A věříte tomu, že v překladači či linkeru není žádný backdoor? No dobrá, nechme toho… Pravděpodobně jste nezadali adresu e-shopu jako IP adresu, takže se v první řadě bude počítač dotazovat DNS serverů, nejspíš těch, co udržuje váš poskytovatel připojení. Tedy věříte, že poskytovatel připojení nemá důvod vám ty adresy podvrhnout a že je natolik schopný, že si nenechal DNS „otrávit“. Přitom – dovedete si představit, co by se stalo, kdyby vám poslali nějakou IP nějaké phishingové stránky? Může to udělat, a velmi snadno. Ale vy mu musíte věřit, že to nedělá. Stejně tak mu věříte, že neprodá vaše logy nějaké třetí straně… Proto jste si přece vybrali důvěryhodného poskytovatele!
Pokračujeme dál, přičemž necháme stranou možnost toho, že vám poskytovatel strčil do cesty falešný router a vytvořil vám „falešný internet“, nebo že pouští váš provoz přes proxy na chytání citlivých údajů. Věříte mu, že to nedělá, a basta! Dejme tomu, že jste opravdu připojeni na server e-shopu a přihlašujete se do zákaznické oblasti. Věříte, že váš prohlížeč neodposlouchává heslo a věříte že to nedělá ani operační systém (aha, vy jste si ho sami přeložili? A zkontrolovali jste si zdrojové kódy? Že to za vás udělala komunita? A vy jí věříte?!). Jste přesměrováni na zabezpečené připojení, kde se e-shop prokáže svým certifikátem (a vy zase věříte, že Verisign nemá důvod vydat falešný certifikát).
Pak zaplatíte kartou (a přitom věříte, že platební brána je pravá a že její provozovatel nemá důvod vaše údaje schraňovat a pak s nimi platit někde jinde nebo je prodat) a e-shop vám pošle na váš mail potvrzení. A vy věříte, že se ve vašich mailech nebude štrachat nikdo ze Seznamu (Centra, Google, od vašeho hostéra, admin vašeho mailserveru, …) a že ho třeba nepoužije ke zfalšování přístupu na váš oblíbený diskusní server.
Tolik černých děr je po cestě – a vy jen slepě důvěřujete, že do nich nespadnete a že vás tam nikdo nehodí!
Co třeba takový PayPal: Věříte, že si z karty strhne jen tolik, kolik vám napíše, že opravdu platíte. Věříte, že vaše peníze nepošle někomu jinému. Věříte, že…
O (leckdy až iracionální) důvěře v Google by se daly napsat celé knihy (nebo alespoň glosy). Přitom Google… jak to jen říct? Jo, asi takhle: „Google má díky penetraci AdSense a Analytics kódů možnost zjistit, kam který uživatel chodí; navíc má pod palcem neuvěřitelnou databázi e-mailové komunikace (a účinný algoritmus na prohledávání). Tudíž jednak může sledovat moje "návyky“, jednak může zfalšovat identitu (bude-li chtít) a někdo „od nich“ se může přihlásit ke Google službám jako já a zneužít to. Plus samosebou může tohle všechno prodat někomu jinému." Podobnost s výše uvedeným tvrzením, které má dokazovat nebezpečnost OpenID, není náhodná.
A to už vůbec nemluvím o světě offline… Co když třeba ta prodavačka, které jste v supermarketu podali svou platební kartu, má fotografickou paměť? Je pro ni triviální zapamatovat si číslo vaší karty, jméno, expiraci a CVV kód, zatímco „jako kontroluje váš podpis“, a hned večer může tyhle informace vesele zadávat do nějakých stránek. Ostatně všimli jste si toho, že když platíte kartou, tak si prodavačka něco poznamená na papírek vedle kasy?
Pokud vám kombinace obyčejná prodavačka a fotografická paměť přijde jako přitažená za vlasy, pak vás asi překvapím. V březnu byla odsouzena liberecká prodavačka, která přesně takovou věc dělala. Podobně byl jeden náš redakční kolega okraden přímo v obchodním domě vedle naší redakce. Ještě věříte prodavačkám?
Přece nejste blbí, slyším váš hlas. Přeci si vybíráte jen důvěryhodné poskytovatele a e-shopy. Navíc platíte zásadně dobírkou (a balík na poště protokolárně rozbalujete, co kdyby tam byla cihla, že?), elektronické bankovnictví nemáte, ostatně nemáte ani platební kartu (o mobilním telefonu nemluvě) a stejně jako moje babička se řídíte heslem, že nelze věřit nikomu. Přece nejste blbí!
Ano, přece nejste blbí, abyste někomu důvěřovali…
Ale poslyšte, co vlastně na tom internetu děláte? To jen píšete do diskusí jako anonymní nepřihlášení uživatelé?
Ono je to s tou bezpečností a zneužitelností u OpenID stejné jako u ostatních technologií: Není nic takového jako „bezpečná technologie“, je jen více či méně rizikové chování. Vy si vyberete poskytovatele (firmu, společenství, jednotlivce, …), kterému věříte, že nic špatného neudělá (i když víte, že by mohl), a svěříte mu takové informace, aby míra důvěrnosti těchto informací nepřekročila míru důvěryhodnosti onoho poskytovatele. To je celý princip bezpečného chování. U e-mailů, webů, certifikátů, hostérů apod. jsme si na to už zvykli. Zvykáme si na totéž u platebních karet. OpenID je zatím nový, tam pouhá „představa, že to může někdo zneužít“ zatím převažuje nad racionální úvahou „… tak si holt vyberu takového, komu budu věřit“. Třeba Verisignu – věřím mu podpis SSL certifikátů, tak mu budu věřit i to, že nikomu neřekne, kam chodím.
Osobně jsem optimista. Věřím, že OpenID za chvíli ztratí nevýhodu „nového a neznámého“ a že se postoj k němu racionalizuje, jako se racionalizoval u e-mailů a dalších věcí.
Jen tím vlašským salátem si nejsem jist, tomu asi nebudu moci věřit nikdy!
(Původně vyšlo na autorově blogu.)
