Az előző részekben megismertük, hogy milyen rétegei vannak a biztonságnak, és hol “támadhatnak be” minket olyanok, akik az adatainkat akarják megszerezni. Szó volt a jelszavakról, az emailes adathalászokról, valamint a szerződésben vállalt biztonsági kockázatokról is. Most pedig a weboldalakat vizsgáljuk meg. Hová szabad látogatnunk?

Nem reprezentatív felmérésünk azt mutatja, hogy a szoftveres biztonság terén nem gyakorlott felhasználók vagy sehol sem éreznek félelmet, vagy az ismert, általuk látogatott weboldalakban sem bíznak túlságosan. Olyan ez utóbbi, mint amikor először a postásra gyanakszunk, ha a szomszédhoz betörnek a távollétében. Egyszerűbb egy ismert valakit gyanúsítani, mint egy ismeretlen, sosem látott fenyegetést. Mivel a fenyegetések sokrétűek, és megismerésükhöz idő kell, inkább az ismertben kételkedünk.

Még akkor is, ha a szomszédunk “a lábtörlő alatt hagyta a kulcsát” (egyszerű jelszót választott, vagy hagyta, hogy megismerje más is, lásd korábbi posztunkat a témában).

Ebben a részben feltesszük a kérdést, hogy miként győződjünk meg arról, az általunk látogatott oldal megbízható, megpróbálja-e ellopni az adatainkat, vagy egyáltalán nem kell ilyesmi miatt aggódnunk? Ehhez elsőként definiálni kell az “általunk látogatott weboldal” fogalmát, még ha annyira egyértelműnek is tűnik ez. Általunk látogatott weboldalnak ebben a posztban azt tekintjük, aminek ismerjük az url-jét, tehát a weboldal nevét (pl. szamlazz.hu), és ezt magunk írjuk be a böngésző címsorába. Nem számít bele ebbe a vizsgálatba az, amikor egy spamben található linkre, esetleg a Facebook által elénk dobott, szenzációsnak tűnő hírre kattintunk. Ilyenkor ugyanis nem tudjuk, hogy végül hová jutunk, és elképzelhető, hogy az így kicsalt látogatást másra is felhasználja az oldal kezelője.

Megbízhatatlan weboldalak?

Az első, ami szembeötlő – és rémisztő – lehet egy oldal látogatásakor, az a böngészőnk felhívása a címsornál: “Nem megbízható weboldal”. Hogy ezt a helyén kezeljük, érdemes utánanézni, mit is jelent ez. Például véletlenül sem jelenti azt, hogy a weboldal támadó, és megpróbálja ellopni az adatainkat, vagy bármilyen más módon próbál ártani nekünk. Lehet, hogy ennek a kiírásnak nincs jelentősége, de lehet, hogy van. Ezt nekünk kell megállapítani.

Ehhez gyorsan ismerjük meg, mi is az a http, ami minden weboldal címe előtt ott áll. A http egy protokoll, egy olyan szabvány, ami gyakorlatilag minden weben keresztüli adatcsere módját leírja. Ha megnyitunk egy weboldalt, ehhez a böngészőnk szövegeket, képeket, valamint html kódokat tölt le és értelmez — a letöltéseket pedig a http protokoll szerint végzi. A https ugyanaz a protokoll, mint a http. Az egyetlen fontos különbség, hogy a kommunikációt biztonságos módon, titkosítva, a kapcsolat résztvevő tagjait azonosítva végzi el. Aki egy olyan oldalt látogat meg, amely címe előtt https szerepel, biztos lehet benne, hogy minden adat, ami hozzá érkezik, vagy ami tőle elküldésre kerül, egy titkosító/autentikáló folyamaton megy keresztül (lásd első posztunkat a témában). Tehát hiába lesi meg útközben valaki a kommunikációt a gépünk és a távoli szerver között, nem fogja érteni, mi történik.

Mindezt azért fontos tisztázni, mert a “Nem megbízható weboldal” felirat a böngészőnkben csakis arra utal, hogy az adott oldallal nem titkosított csatornán folyik a kommunikáció – vagyis nem a https, hanem sima http protokoll szerint.

Ez baj? Ha mondjuk egy híroldalt nyitunk meg, ahol mindenféle bejelentkezés, jelszó megadása nélkül elolvasunk néhány hírt, akkor egyáltalán nem. Miért érdekelne engem mint mezei felhasználót, hogy a hírek és az róluk készült képek titkosítatlanul érkeznek hozzám? Hallgassa le nyugodtan, aki akarja.

Ha viszont olyan oldalra megyünk, ahol meg kell adnunk a jelszavunkat, mert regisztrált felhasználók vagyunk (pl. számlázz.hu), neadjisten a banki adatainkat is be kell írni, mert fizetni akarunk, akkor nagyon is fontos, hogy biztonságos, https kapcsolat jöjjön létre. És ez meg is történik, legalábbis mi még nem találkoztunk olyan esettel, hogy a fejlesztő valamiért titkosítatlanul küldte volna át az ennyire érzékeny információkat. Mindenesetre ha ilyenkor nyitott lakat ikont látunk (vagy a “Nem megbízható weboldal” feliratot), inkább ne írjunk be semmit, és csukjuk be az oldalt. Nem feltétlenül akartak rosszat, talán csak bénák, de ilyen klubhoz ne tartozzunk.

A titkosított kommunikációhoz a https oldal üzemeltetőjének SSL tanúsítványt kell beszereznie. Ezek a tanúsítványok lehetnek megbízhatóak vagy nem megbízhatóak, és egy idő után le is járnak. Ha egy weboldal lejárt vagy nem megbízható tanúsítvánnyal akarja megoldani a titkosított kapcsolatot, arra a böngészőnk figyelmeztet. Ilyenkor úgy kell tennünk, mintha az adott kapcsolat nem lenne megbízható, így ilyen helyeken vigyázzunk az adatainkra, inkább ne adjuk meg azokat. Magunk is ellenőrizhetjük a tanúsítványt, ha a biztonságos kapcsolatot jelző lakatra, majd a Tanúsítvány megtekintése gombra nyomunk. Így néz ki, ha minden rendben.

Online fizetés – kinek adjuk meg adatainkat és kinek ne?

Ahogy említettem fent, az adataink védelme akkor a legégetőbb, amikor a bankkártyánk azonosító számait írjuk be. Ismerünk olyan felhasználót, aki annyira nem tudja, mi számít biztonságosnak, és mi nem, hogy egyáltalán nem meri beírni sehová a bankkártyája adatait, inkább nem fizet online. Így megpróbálunk itt is elmagyarázni néhány alapvető dolgot, és megismertetni a piaci résztvevők motivációit.

Ha egy cég szeretné, hogy a webshopjában valaki online fizetni tudjon a bankkártyájával, nem saját maga fogja kezelni a banki adatainkat. Sőt, nem is látja azokat. Ha a kártyás fizetésre nyomunk egy weboldalon, az esetek legnagyobb részében egy új ablak nyílik meg, egészen más kinézettel, hiszen egy bank vagy a fizetést intéző szervezet saját rendszerébe irányít minket a weboldal. Ennek tényét pedig a megnyíló ablak címsorában ellenőrizhetjük, itt látjuk, milyen szolgáltatóhoz irányítottak minket. Ez egy másik cég, másik rendszer, ők csak értesítik majd a webshopot a fizetés létéről. Hogy miért? Azért, mert a banki adatok kezeléséhez olyan magas biztonsági követelményeknek kell megfelelni, amiket bankokon kívül alig valaki hajlandó vagy képes betartani. (A Számlázz.hu is ilyen biztonsági rendszert üzemeltet az ügyfelek adatainak védelmében, illetve azért, hogy a számlák kiegyenlítésének tényéről szóló információt megkaphassa a magyar bankoktól.)

Tehát azért nem kell félnünk attól, hogy megadjuk a kártyaadatainkat egy egyszerű webshopnak, mert nem is neki adjuk meg. Van olyan, hogy nem bankkal kötnek megállapodást, hanem más, fizetést bonyolító szervezettel. De minden ilyen szervezet esetében is megvan a magas biztonság, és abban is biztosak lehetünk, hogy azok sem abból élnek, hogy ellopják a rájuk bízott bankkártyák adataival megszerezhető pénzeket – hiszen ez esetben nagyon gyorsan rács mögé kerülnének, a webshop tulajdonosa pedig súlyos büntetésekkel számolhatna. Ha azonban úgy ítéljük meg, hogy a webshop és az átirányított oldal is gyanús, valamint nem ismerünk fel benne megszokott elemeket, akkor inkább ne kockáztassunk, és kérjünk előreutalást vagy átvételkori fizetést. Vagy látogassunk olyan webshopot, amit ismerünk, és ami sikerrel működik a piacon már évek óta.

A webes fizetés jövője egyébként az, amikor nem bankok és hagyományos pénzügyi intézetek, hanem a laptopunk, mobiltelefonunk, vagy operációs rendszerünk gyártói “állnak be” annak érdekében, hogy általunk ismert és megbízhatónak tartott entitásként bonyolítsák le a fizetést.

Ma már létezik Apple Pay és Google Pay is. A webshopok igényelhetik ezt a fizetési lehetőséget, ilyen esetben a telefonunk ujjlenyomat-olvasójának vagy arcfelismerőjének segítségével azonosítjuk magunkat a fenti cégek szerverein keresztül, és biztonságosan tudunk fizetni. Az Apple még azt is felajánlja nekünk, hogy ne kelljen megadni a tranzakció során semmilyen email-címet: a vásárláshoz egy általuk csakis a mi számunkra, erre a tranzakcióra ideiglenesen létrehozott ál-címet juttatnak el a szolgáltatóhoz, így ezen keresztül ugyan elérnek minket az eladók, de nem ismerik meg a saját email-címünket.

A második posztunk végén szó volt arról, hogy a jelszavak ideje lejárt, mert a kétfaktoros hitelesítés és a megújuló technológiák eredményeként többé már nem az azonosít majd minket, amit tudunk (jelszavunk), hanem a saját készülékünk és az ujjlenyomatunk vagy más biometrikus azonosítónk együttese. Ez például a posztban szereplő példákban nagyon jól jön, hiszen amennyiben egy fizetést egy felismert eszközzel, az ujjlenyomatunkkal vagy arcunkkal jóváhagyva indítunk el (és csak így hagyhatunk jóvá), akkor többé a bankkártyánkra írt számok elvesztésével sem kell többé foglalkoznunk.

Összefoglalva: ne ijedjünk meg az online bankkártyás fizetéstől, mert ez a folyamat elég jól szabályozott, és nagyon félre kell menni a dolgoknak ahhoz, hogy egy adathalász webshopból akarjunk rendelni, adathalász banki rendszernek álcázott aloldalon fizetve. Ennek érdekében vásároljunk ismert csatornákon.

Egyre azonban figyeljünk: ha egy oldal a jelszavunkat kéri, de nem https szabványt használ, akkor ne adjunk meg semmit. Viszont azt se gondoljuk, hogy ami https, vagy amit a böngészőnk biztonságosnak gondol, az épp olyan biztonságos, mint egy banki rendszer: ez csak arra utal, hogy titkosított csatornán folyik a kommunikáció. Az már más kérdés, hogy a másik oldalon a weboldal tulajdonosa hogyan kezeli a titkosan átküldött, a másik oldalon dekódolt adatainkat, mennyire vigyáz rájuk. A Számlázz.hu például épp úgy, mint egy bank vagy pénzintézet: a létező legmagasabb biztonságú eljárások szerint.

Szeretnél többet tudni a NAV online számlázásról?