Paweł Abramowicz

Cześć! Jestem webdeveloperskim wolnym strzelcem i szalonym wynalazcą, próbującym rozkręcić własny startup. To, co robię obecnie, wyśledzisz na moim Twitterze. Jeśli szukasz kontaktu w sprawach biznesowych, kliknij tutaj.

Github LinkedIn

Przeszedłem na HTTPS. Wy też powinniście.

Jak absolutnie nikt nie zauważył, od dziś na większości moich stron widać zieloną kłódeczkę. Mogliście jednak zauważyć ją na innych stronach, które do tej pory jej nie miały – a które niedługo zaczęłyby być oznaczane jako niebezpieczne[1].

Problem z naszym starym, dobrym[citation needed], znanym i lubianym[by whom?] HTTP jest taki, że absolutnie wszystkie hasła użyte na stronie nim obsługiwanej możecie wyrzucić do kosza. Dokładnie tak – hasła były przesyłane przez HTTP w sposób nieszyfrowany, przez co mogły zostać rozczytane podczas transferu przez kogokolwiek po drodze. W połączeniu z używaniem ponownie tych samych haseł tworzy to mieszankę wybuchową, która nie wiadomo kiedy eksploduje falą kredytów wziętych na Twoje dane po kradzieży tożsamości (nadal masz jedno hasło do wszystkiego? Użyj KeePassa[2]).

Ale zaraz – czego używały banki przed SSL?

Apletów Javy. Ta zakurzona dzisiaj technologia, dla której wsparcia próżno już dzisiaj szukać[3][4][5], pozwalała na wdrożenie silnej kryptografii przed wdrożeniem SSL, a później TLS. Dzisiaj ta opcja wydaje się redundantna, gdyż przeglądarki wspierają silne krypto w standardzie, a dodatkowe zabezpieczenia można zaimplementować w natywnym dla sieci JavaScriptcie.

Dlaczego jednak miałabyś/miałbyś użyć HTTPS na swojej stronie, jeśli nie używasz logowania (rozumiem, że do zmiany treści używasz generatora stron statycznych, gdyż Wordpress zawiera logowanie)?

Aby chronić prywatność swoich użytkowników. Przesłane przez HTTP dane są jawne i mogą służyć do profilowania – zbierania danych, co Twoi odwiedzający lubią, czego nie lubią, jakie poglądy wyznają. Przez profilowanie mogą doświadczyć wielu rodzajów problemów, od niechcianych reklam, aż do prześladowania. Nawet jeśli nie poruszasz wrażliwych tematów, treść Twojej strony może stanowić część układanki dla osób, które chcą komuś zaszkodzić.

W tym momencie zawsze pojawia się stereotyp niepoparty faktami — Dobra, dobra, certyfikat TLS jest drogi!

Ale można je znaleźć za darmo! Ja sam odwlekałem decyzję o przerzuceniu się do znalezienia taniego certyfikatu (studencki budżet nie rozpieszcza); okazało się, że od 2015 roku działa organizacja Let's Encrypt[6], która zajmuje się dokładnie rozdawaniem za darmo certyfikatów TLS. Zainstalowanie certyfikatu może wymagać drobnej pomocy, ale efekt (brak czerwonej ikonki niezabezpieczonego połączenia za każdym razem, gdy ktoś wejdzie na Twoją stronę) jest tego warty.

Korzystanie z HTTPS niesie za sobą same korzyści – wszystkie wady, które posiadało, zostały wyeliminowane w ciągu ostatnich kilku lat. Pomóż nam zmieniać sieć na lepsze – przejdź na HTTPS!