Hlavní navigace

Věřte nám! Nic jiného vám vlastně ani nezbývá...

Martin Malý

Obáváte se toho, že mohou poskytovatelé připojení číst vaši poštu a sledovat, na jaké stránky chodíte? Bojíte se, že u Google čtou vaše maily? Nevíte, komu věřit a připadá vám, že nejlepší by bylo nevěřit nikomu? To ale na internetu dost dobře nejde – někomu prostě nakonec věřit musíte…

Věříte svému poskytovateli, správci, pokladní a programátorovi? Aneb „Věř, a komu věříš měř!“

Moje babička vyznávala jednoduchou a radikální životní filosofii: Cizím lidem nevěřila a apriori k nim přistupovala s přesvědčením, že to s ní myslí špatně, že ji chtějí podvést a že mají za lubem nějakou levárnu. Výjimky téměř nepřipouštěla a v jejím světě neexistovalo nic jako třeba „prodavačka se spletla“. Vždy a zásadně ji chtěla okrást, a to schválně! Tedy ono se nelze moc divit – zažila válku a zažila vládu komunistů, to člověku na důvěře nepřidá. Na druhou stranu mne občas překvapilo, že i tak ostražitá paní občas naletěla na velmi průhledné triky („Vyhrála jste milion korun…“), ale to je jiná věc. Toto přesvědčení mou babičku zcela jistě uchránilo od mnohých životních nepříjemností. Na druhou stranu zase nepoznala některé věci, které jsou na důvěře v solidnost druhého založené.

Na životní filosofii svojí babičky jsem si vzpomněl před několika dny, když jsem četl reakce na článek o OpenID. Naštěstí už v diskusi nepadaly ty největší bludy, takže bych si možná i skoro pogratuloval k úspěšné osvětě, na druhou stranu vytáhli odpůrci OpenID argument hodný mojí babičky. Zní asi takto: OpenID provider (tedy ten, kdo ověřuje identitu) má z definice možnost zjistit, kam který uživatel chodí, a má právo prohlásit, že ten či onen je oprávněný uživatel. Tudíž jednak může sledovat moje „návyky“, jednak může zfalšovat identitu (bude-li chtít) a někdo „od nich“ se může přihlásit jako já a zneužít to. Plus samosebou může tohle všechno prodat někomu jinému. A jako by v pozadí znělo: „Když to mohou udělat, tak to taky udělají, ergo je to celé špatné a nedůvěryhodné“.

Nojo, je to tak. Tohle všechno se může opravdu stát. Pro moji babičku by to byl dostatečný důvod k tomu, aby prohlásila, že OpenID (jako takové) je na nic a ji do toho nedostanou (což ostatně prohlásila i o kině, letadle, Matesu, předplatném na časopisy, vlašském salátu a dalších věcech). Mně ale, nezlobte se, ten argument připadá scestný. Připadá mi scestné prohlásit o technologii že je špatná jen proto, že je postavena na důvěře, kterou může někdo zneužít, když bude chtít.

On je totiž na důvěře postaven celý internet, a kdybychom se drželi jen technologií a služeb, kde není potřeba „důvěry“ a které nelze zneužít, tak musíme uříznout síťový kabel a počítač nezapínat. Projděte si se mnou třeba takový běžný nákup přes internet.

Zapnete počítač s internetovým připojením, otevřete prohlížeč a zadáte adresu svého oblíbeného e-shopu. Přitom věříte, že autoři vašeho prohlížeče do něj nedali nic, co by vás sledovalo a co by zároveň s požadavkem na stránku e-shopu neposlalo oznámení „XY leze tam a tam“. Že používáte open-source Firefox? Hm, a přeložili jste si ho sami ze zdrojových kódů? Hm… A věříte tomu, že v překladači či linkeru není žádný backdoor? No dobrá, nechme toho… Pravděpodobně jste nezadali adresu e-shopu jako IP adresu, takže se v první řadě bude počítač dotazovat DNS serverů, nejspíš těch, co udržuje váš poskytovatel připojení. Tedy věříte, že poskytovatel připojení nemá důvod vám ty adresy podvrhnout a že je natolik schopný, že si nenechal DNS „otrávit“. Přitom – dovedete si představit, co by se stalo, kdyby vám poslali nějakou IP nějaké phishingové stránky? Může to udělat, a velmi snadno. Ale vy mu musíte věřit, že to nedělá. Stejně tak mu věříte, že neprodá vaše logy nějaké třetí straně… Proto jste si přece vybrali důvěryhodného poskytovatele!

Pokračujeme dál, přičemž necháme stranou možnost toho, že vám poskytovatel strčil do cesty falešný router a vytvořil vám „falešný internet“, nebo že pouští váš provoz přes proxy na chytání citlivých údajů. Věříte mu, že to nedělá, a basta! Dejme tomu, že jste opravdu připojeni na server e-shopu a přihlašujete se do zákaznické oblasti. Věříte, že váš prohlížeč neodposlouchává heslo a věříte že to nedělá ani operační systém (aha, vy jste si ho sami přeložili? A zkontrolovali jste si zdrojové kódy? Že to za vás udělala komunita? A vy jí věříte?!). Jste přesměrováni na zabezpečené připojení, kde se e-shop prokáže svým certifikátem (a vy zase věříte, že Verisign nemá důvod vydat falešný certifikát).

Pak zaplatíte kartou (a přitom věříte, že platební brána je pravá a že její provozovatel nemá důvod vaše údaje schraňovat a pak s nimi platit někde jinde nebo je prodat) a e-shop vám pošle na váš mail potvrzení. A vy věříte, že se ve vašich mailech nebude štrachat nikdo ze Seznamu (Centra, Google, od vašeho hostéra, admin vašeho mailserveru, …) a že ho třeba nepoužije ke zfalšování přístupu na váš oblíbený diskusní server.

Tolik černých děr je po cestě – a vy jen slepě důvěřujete, že do nich nespadnete a že vás tam nikdo nehodí!

Co třeba takový PayPal: Věříte, že si z karty strhne jen tolik, kolik vám napíše, že opravdu platíte. Věříte, že vaše peníze nepošle někomu jinému. Věříte, že…

O (leckdy až iracionální) důvěře v Google by se daly napsat celé knihy (nebo alespoň glosy). Přitom Google… jak to jen říct? Jo, asi takhle: „Google má díky penetraci AdSense a Analytics kódů možnost zjistit, kam který uživatel chodí; navíc má pod palcem neuvěřitelnou databázi e-mailové komunikace (a účinný algoritmus na prohledávání). Tudíž jednak může sledovat moje "návyky“, jednak může zfalšovat identitu (bude-li chtít) a někdo „od nich“ se může přihlásit ke Google službám jako já a zneužít to. Plus samosebou může tohle všechno prodat někomu jinému." Podobnost s výše uvedeným tvrzením, které má dokazovat nebezpečnost OpenID, není náhodná.

A to už vůbec nemluvím o světě offline… Co když třeba ta prodavačka, které jste v supermarketu podali svou platební kartu, má fotografickou paměť? Je pro ni triviální zapamatovat si číslo vaší karty, jméno, expiraci a CVV kód, zatímco „jako kontroluje váš podpis“, a hned večer může tyhle informace vesele zadávat do nějakých stránek. Ostatně všimli jste si toho, že když platíte kartou, tak si prodavačka něco poznamená na papírek vedle kasy?

Pokud vám kombinace obyčejná prodavačka a fotografická paměť přijde jako přitažená za vlasy, pak vás asi překvapím. V březnu byla odsouzena liberecká prodavačka, která přesně takovou věc dělala. Podobně byl jeden náš redakční kolega okraden přímo v obchodním domě vedle naší redakce. Ještě věříte prodavačkám?

Přece nejste blbí, slyším váš hlas. Přeci si vybíráte jen důvěryhodné poskytovatele a e-shopy. Navíc platíte zásadně dobírkou (a balík na poště protokolárně rozbalujete, co kdyby tam byla cihla, že?), elektronické bankovnictví nemáte, ostatně nemáte ani platební kartu (o mobilním telefonu nemluvě) a stejně jako moje babička se řídíte heslem, že nelze věřit nikomu. Přece nejste blbí!

Ano, přece nejste blbí, abyste někomu důvěřovali…

Ale poslyšte, co vlastně na tom internetu děláte? To jen píšete do diskusí jako anonymní nepřihlášení uživatelé?


Ono je to s tou bezpečností a zneužitelností u OpenID stejné jako u ostatních technologií: Není nic takového jako „bezpečná technologie“, je jen více či méně rizikové chování. Vy si vyberete poskytovatele (firmu, společenství, jednotlivce, …), kterému věříte, že nic špatného neudělá (i když víte, že by mohl), a svěříte mu takové informace, aby míra důvěrnosti těchto informací nepřekročila míru důvěryhodnosti onoho poskytovatele. To je celý princip bezpečného chování. U e-mailů, webů, certifikátů, hostérů apod. jsme si na to už zvykli. Zvykáme si na totéž u platebních karet. OpenID je zatím nový, tam pouhá „představa, že to může někdo zneužít“ zatím převažuje nad racionální úvahou „… tak si holt vyberu takového, komu budu věřit“. Třeba Verisignu – věřím mu podpis SSL certifikátů, tak mu budu věřit i to, že nikomu neřekne, kam chodím.

Osobně jsem optimista. Věřím, že OpenID za chvíli ztratí nevýhodu „nového a neznámého“ a že se postoj k němu racionalizuje, jako se racionalizoval u e-mailů a dalších věcí.

Jen tím vlašským salátem si nejsem jist, tomu asi nebudu moci věřit nikdy!

(Původně vyšlo na autorově blogu.)

Našli jste v článku chybu?

5. 5. 2011 0:57

Jedine, comu sa da verit, je to, ze co je technicky mozne zneuzit, bude aj zneuzite.

5. 5. 2011 6:56

asdasd (neregistrovaný)

Po pár větách ve stylu "však já vám to vysvětlím, vy hlupáci" mi bylo jasné, kdo je autorem. Čistě technické články od vás se mi líbí, ale tyhle subjektivní obhajoby vlastního názoru vám zbytečně sráží kredit. Každý holt není nekriticky nadšený ze všeho s nálepkou "trend".

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu