Kapitola 3 - Bezpečné používání webů

Kapitola 3 – Bezpečné používání webů

Webové stránky se používají k mnoha činnostem. Je důležité vědět, kde jsou uložené a že se k nim přistupuje pomocí tzv. webového prohlížeče. Do adresní řádky webového prohlížeče je třeba správně zadat adresu webové stránky, abychom komunikovali s tou stránkou, s kterou opravdu komunikovat chceme.

1. Úvod

Webové stránky lidé používají k mnoha činnostem, jako třeba ke čtení zpravodajství, blogů, ke komunikaci s přáteli, k prohlížení obrázků a videí a samozřejmě také k pracovním záležitostem. Zobrazovaný obsah je uložen na mnoha místech po celém světě, na tzv. webových serverech. Přístup k obsahu je zprostředkován specializovanou aplikací – webovým prohlížečem, který zobrazí obsah umístěný na adrese zadané do adresní řádky.

Správnost zadané adresy je důležitá, ale sama o sobě nestačí, abychom mohli bezpečně komunikovat. Také bychom nebyli rádi, kdyby do komunikace mohl někdo vstoupit a číst ji nebo ji dokonce pozměňovat, proto je potřeba přenášená data šifrovat. Dále je třeba ověřit, že šifrovaně komunikujeme skutečně s tím, s kým komunikovat chceme. K tomuto účelu slouží certifikáty, kterými nám certifikační autorita potvrzuje, že daný certifikát patří k danému webu, případně dokonce i jaké organizaci.

2. Používání webu

V dnešní době, když chcete používat emailovou schránku, přehrávat videa, hudbu, posílat velké soubory nebo používat internetové bankovnictví, nemusíte mít pro každou činnost zvláštní aplikaci, ale je možné používat prakticky vše ve webovém prohlížeči, který je často již předinstalován v operačním systému (Internet Explorer, Edge, Google Chrome, Opera, Mozilla Firefox, Safari a další).

Pro využívání webových aplikací je potřeba pouze znalost internetové adresy a samozřejmě síťové připojení (intranet, Internet). Po vyplnění adresy do adresního řádku a načtením stránky (webu) se webová aplikace spustí.

Často je třeba se na úvod přihlásit (autentizovat), tj. zadat jméno a heslo nebo jiným způsobem prokázat svou identitu (viz kapitola Kdo jsem a co smím).

3. Co je to web

Web je tvořen množstvím webových serverů rozmístěných po celém světě. Webový server je výkonný počítač a každý takový počítač vždy poskytuje nějaký obsah data. Některý obsahuje jízdní řády, jiný zase internetové bankovnictví konkrétní banky, zpravodajství, archivy televizního vysílání apod. Ten, kdo data požaduje, musí znát adresu serveru, který data poskytuje. Musí být také schopen o data požádat a přijmout je. Program, který umožňuje připojit se k serveru a komunikovat s ním, se obecně nazývá klient. Klient odesílá serveru požadavek a čeká na jeho odpověď. V případě webu je klientem webový prohlížeč a odpovědí serveru je webová stránka.

Web je tak rozsáhlý, že o obsah a chování webů se musí starat mnoho lidí. Různí lidé mají také různě odpovědný přístup, a proto je i kvalita webů a jejich obsahů různá. O tom, jak se k věrohodnosti informací z webu stavět, si můžete přečíst v kapitole Informace a Internet.

Nyní se ale soustřeďme na to, jak poznat, na kterém webu se zrovna nacházíme nebo kam vede odkaz, který jsme dostali. Každý webový server má přiděleno unikátní doménové jméno, pomocí nějž je možné jej jednoznačně odlišit od ostatních. Zpravidla lze ještě serveru upřesnit, co od něj chceme, tím, že za adresu v adresní řádce webového prohlížeče zapíšeme patřičné parametry. Tyto parametry jsou zpravidla generovány automaticky webovou aplikací a není potřeba je jakkoli editovat, jen je potřeba chápat jejich přítomnost a důležitost.

4. Co je to webová adresa (URL)

Webová adresa je přesný identifikátor toho, co má webový prohlížeč zobrazit. Můžete se setkat také s pojmem URL (Uniform Resource Locator, jednotná adresa zdroje).

Webová adresa je složena z několika částí:

protokol://doménové_jméno/umístění_na_serveru?parametry#kotva

Webový prohlížeč ovládá několik různých způsobů komunikace (tzv. protokoly), kterými se umí domluvit s webovými servery. Protokol je v URL krátký text uvedený před dvojtečkou a dvěma lomítky. Pokud žádný neuvedete, prohlížeč si vybere podle nastavení serveru. Protokolům se budeme blíže věnovat později.

Následuje doménové jméno webového serveru, což je nejdůležitější informace, protože podle ní lze poznat, ze kterého serveru jsou zobrazovaná data. Pro zajištění jednoznačnosti jsou doménová jména přidělována hierarchicky (obdobně jako IP adresy – viz kapitola Anonymita na Internetu). Každé doménové jméno se skládá z několika textových řetězců oddělených tečkou, například www.czu.cz. Stejně jako u běžné poštovní adresy jsou nejobecnější informace na konci (Jan Novák, Pražská 123, Praha). Poslední řetězec v doménovém jméně je tzv. doména nejvyššího řádu (TLD, Top Level Domain) a odpovídá často zemi, kde je webový server fyzicky umístěn (.cz, .sk apod.) nebo má určovat způsob použití (.info, .name, .com apod.). Další řetězce se nazývají podle svého pořadí od konce, tj. zcu.cz je doména druhého řádu, bezpecnost.czu.cz je doména třetího řádu atd. Jejich interpretace záleží na politice správce příslušné TLD. Například český správce CZ.NIC umožňuje, aby si kdokoliv mohl pořídit doménu druhého řádu, zatímco ve Velké Británii až doménu třetího řádu podle charakteru žadatele (doména druhého řádu je přidělena, např. co.uk). Ve chvíli, kdy fyzická osoba nebo organizace získá svou doménu, může si sama vytvářet další subdomény (např. vlastník czu.cz si může vytvořit www.czu.cz, aktualne.czu.cz apod.).

Na webové adrese se také může nacházet více dokumentů nebo webových aplikací, které lze odlišit pomocí „umístění_na_serveru“. Ve webové adrese je toto umístění uvozeno lomítkem a nemusí být vždy přítomno.

Pomocí webové adresy můžeme také předávat určité parametry (například pozici na mapě, předvyplněná políčka ve webovém formuláři apod.), které jsou uvozeny znakem otazníku a také nemusí být vždy přítomny.

Poslední částí je tzv. kotva uvozená znakem mřížky. Kotva typicky označuje místo na dlouhých stránkách, které se nevejdou na jednu obrazovku, a webovému prohlížeči říká, kterou část stránky má zobrazit (jak moc ji má posunout/odrolovat).

Důležitost doménového jména

Přesnost doménového jména je důležitá, protože při záměně byť jen jednoho písmena způsobí, že se webový prohlížeč dostane na úplně jiný webový server. V lepším případě dané jméno nebude existovat, v horším je to podvodná stránka, která se snaží vydávat za správnou.

Příklad:

https://google.com
- Správná adresa Google
https://goog1e.com
- Jednička místo malého písmene “L”.
https://g00gle.com
- Nula místo písmene “o”.

Všimněte si, že jednotlivé domény, ať už doména nejvyššího řádu, doména druhého řádu, případně subdomény jsou od sebe odděleny tečkou. Tečka je tedy jediný správný oddělovač a jiný znak na místě oddělovače způsobí, že se dostaneme na webový server, kam jsme nechtěli.

Příklad:

http://apple.com/iphone
- Dostaneme se na server apple.com do adresáře iphone.
http://apple.com-iphone.com
- Dostanete se na server com-iphone.com, na subdoménu apple.

Zkracovače URL

Často je webová adresa dlouhá a špatně by se pamatovala, tiskla nebo diktovala, proto vznikly tzv. zkracovače adres, které jsou dostupné jako webová služba. Jako příklad uvedeme bitly.com nebo jde nahradit aliasem webové stránky.

Příklad:

Hlavní stránka Centra výpočetní techniky
- https://www.utb.cz/cvt/about/
Zkrácený odkaz pomocí bitly.com
- https://bit.ly/48VBaDh

Zkracovačů mohou využít také útočníci, kteří chtějí před potenciální obětí skrýt skutečnou adresu. Před kliknutím na zkrácený odkaz je potřeba zobrazit skutečnou adresu, na kterou zkrácený odkaz vede například zde: http://www.checkshorturl.com/

Protokoly

Způsob, jakým spolu webový prohlížeč a webový server komunikuje, se označuje jako protokol a ve webové adrese je uveden jako první položka. Základním protokolem je HTTP (hypertext transfer protocol), který slouží k přenosu hypertextových dokumentů HTML, XML a obecně i dalších souborů. Jeho nevýhodou je, že data jsou přenášena v nešifrované podobě, tj. jsou čitelná po celou dobu přenosu.

Vzhledem k tomu, že web je distribuován po celém světě a data tečou přes různé počítačové sítě, může je cestou někdo vidět nebo dokonce měnit. Proto je potřeba přenášená data šifrovat.

Do nešifrované komunikace je velmi snadné zasahovat

Například pokud se přihlásíte k otevřené veřejné bezdrátové síti (tzv. free wifi hotspot), může vám její poskytovatel vkládat reklamu do zobrazovaných stránek. Letištní wifi hotspoty jsou tím pověstné.

Šifrovanou komunikaci zajišťuje protokol HTTPS (hypertext transfer protocol secure), díky kterému je komunikace čitelná (dešifrovatelná) pouze pro server a daný webový prohlížeč. Pokud jsou na webové stránce zadávány důvěrné informace, jakými mohou být třeba přihlašovací údaje, vždy je nutné komunikovat šifrovaně, tedy protokolem HTTPS. Webový prohlížeč nás ujišťuje o použití protokolu HTTPS další signalizací – typicky ikonou visacího zámku před URL.

5. Webové certifikáty

Samotné šifrování ještě nestačí, ještě je potřeba mít jistotu, že bezpečně komunikujeme s tím správným protějškem, protože i falešný web může být provozovaný šifrovaně, tedy na protokolu HTTPS. Jinými slovy, je potřeba mít nějakým způsobem ověřeno, že používané šifrovací klíče (viz kapitola Šifrování a elektronický podpis) patří našemu cílovému serveru. K tomuto ověření slouží tzv. webové certifikáty, které vydávají certifikační autority (dále jen CA), což jsou důvěryhodné instituce, kterým věříme.

Podle toho, jak důkladně CA ověřila vlastníka domény, vystaví typ webového certifikátu. Základním ověřením je, že žadatel může ovlivňovat obsah domény, ale CA již neověřuje identitu žadatele. V takovém případě certifikační autorita vystaví tzv. DV (Domain control Validation) certifikát. S tímto typem certifikátu se lze setkat nejčastěji. Certifikační autorita ale může také ověřovat vlastníka daného serveru, například telefonuje na vybraná telefonní čísla, vyžaduje písemné vyjádření, apod. V takových případech pak vystaví OV (Organization Validation) certifikát v případě zběžného ověření, nebo EV (Extended Validation) certifikát v případě důkladného ověření.

Může se vám zdát, že musíte být odborníkem s mnohaletou praxí, abyste vše dokázali ověřit, ale není tomu tak. Ve skutečnosti stačí pouze naslouchat svým webovým prohlížečům a vědět, co si ohlídat. Takový webový prohlížeč totiž za nás udělá mnoho práce sám. Stačí mu zadat správnou adresu webu, který chcete prohlížet, a sám si domluví šifrovací klíče, ověří platnost certifikátu, šifruje komunikaci, a pokud je něco v nepořádku, navíc vás ještě varuje. Po kliknutí na ikonu zámečku, indikující, že komunikujeme šifrovaně, je možné si prohlédnout certifikát, kde je uveden termín konce platnosti, jaká certifikační autorita jej vydala a v případě OV a EV certifikátů také identifikace vlastníka.

Při prohlížení webových stránek je možné se setkat s hlášením webového prohlížeče, že je certifikát neplatný, obvykle vypršela jeho platnost a administrátor webu včas nezajistil jeho obnovu. Aby bylo možné říci, co v konkrétním případě způsobuje varovné hlášení, je potřeba detailnější porozumění problematice. Obecně platí, že pokud webový prohlížeč hlásí jakýkoliv problém s certifikátem webové stránky, neměli bychom na takovou stránku pokračovat. Prohlížeč vás také může upozornit, že se chystáte zadat heslo do stránky komunikující nešifrovaně, tedy po HTTP. Pokud se tak stane, předmětná stránka bude pravděpodobně podvodná, protože dnes již žádný rozumný administrátor přihlašovací stránky na protokolu HTTP neprovozuje.

6. Shrnutí

V této kapitole jsme se dozvěděli, že web je tvořen mnoha samostatnými servery a že k jeho prohlížení slouží webový prohlížeč. Dále víme, že webová adresa (URL) určuje, jaký obsah prohlížeč zobrazuje, a že její první část prozrazuje, na jakém webovém serveru se vlastně nacházíme, což umožňuje rozpoznat podvodnou webovou adresu.

Nyní již také víme, že důležité informace (například přihlašovací údaje) je potřeba přenášet šifrovaně. Skutečnost, že daná webová stránka používá šifrovanou komunikaci, nám sděluje náš webový prohlížeč – obvykle ikonou zámečku a/nebo zobrazením použitého protokolu HTTPS před adresou webové stránky. K ověření, že komunikujeme se správným protějškem, slouží webové certifikáty, které mohou mít různou úroveň ověření vlastníka domény.

Každopádně webový prohlížeč je schopen zařídit téměř všechny činnosti potřebné pro bezpečné prohlížení webových stránek, a když mu něco přijde podezřelé nebo si neví rady, upozorní vás. Naslouchejte tedy svému prohlížeči, pomáhá vám.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně