Senator chce wprowadzić obowiązek "kłódki"

Obowiązkowe szyfrowanie ma ochronić użytkowniików korzystających z otwartych sieci bezprzewodowych udostępnianych przez kawiarnie albo centra handlowe. Jeśli w takiej sieci korzystamy z aplikacji społecznościowej czy poczty - bez szyfrowania, z łatwością można podsłuchać połączenie. To znaczy - obejrzeć co robimy, jakie zdjęcia przeglądamy, o czym czytamy i piszemy w mailach. Można też wykraść nazwę użytkownika i hasło, jesli będziemy się logować przez nieszyfrowane połączenie, a jeśli już jesteśmy zalogowani, podsłuchiwacz może "przechwycić sesję" - wykrasć "przepustkę" (technicznie nazywaną ciasteczkiem - "cookie") dzięki której pozostajemy zalogowani - i za jej pomocą przejąć kontrolę nad kontem. Prawdopodobnie taki był mechanizm włamania na facebookową stronę Marka Zuckerberga.

Obowiązkowe szyfrowanie połączeń za pomocą HTTPS (pokazywanego przez przeglądarkę jako "kłódka" albo informacje o firmie z którą się łączymy w pasku adresu) utrudnia, a czasami wręcz uniemożliwia tego typu ataki. Jednak dostawcy usług niechętnie stosują ten sposób na podwyższenie poziomu bezpieczeństwa - wydajna obsługa HTTPS wymaga instalacji kosztownego sprzętu - tak zwanych akceleratorów kryptograficznych - i komplikuje architekturę aplikacji, co podnosi koszty.

Jedną z usług które już dawno wprowadziły szyfrowane połączenia jest Gmail, możliwość włączenia szyfrowanego dostępu do konta na Facebooku pojawiła się dopiero po wspomnianej wcześniej wpadce "Zucka". Jednak serwisów jest wiele i wprowadzenie obowiązkowego szyfrowania znacząco podniosłoby bezpieczeństwo naszych kont. Stąd też apel senatora Schumera. Oby poszły za nim działania operatorów usług i prawodawców.

[za Reuters]

Janusz A. Urbanowicz