Hlavní navigace

Povede Web 2.0 ke zkáze?

 Autor: 29
Ondřej Bitto 17. 7. 2007

Kdo by netoužil po komfortním rozhraní svých oblíbených webových služeb, jejich propojení, usnadnění přístupu napříč rozličnými internetovými aplikacemi a dalších šťavnatých lákadlech? Současné internetové vody toto všechno již nějaký ten pátek nabízejí, zpravidla pod hlavičkou Webu 2.0. I zde se ale pokradmu objevují nepříjemná negativa a vrhají stín na citlivý svět bezpečnosti.

Na novoty ve starém

Takzvaný Web 2.0 se stal poměrně hojně diskutovaným fenoménem jak na straně uživatelů, tak vývojářů. Prvně jmenovaní dokážou plnými doušky hltat rozšířenou interaktivitu a příjemná uživatelská rozhraní tvorby vlastního obsahu, ti druzí zase po zvládnutí ajaxových kouzel mohou nabídnout víc. A o to přece dnes jde ve všech oblastech – zaujmout něčím novým (alespoň doposud) a zatraktivnit svůj výtvor. S příchodem nového pojetí webu ale vyvstávají také otázky ohledně nových bezpečnostních trablů.

Označení modernějšího webu pojmem Web 2.0 nemá zcela pevně vytyčené hranice, po jedné z definic můžeme sáhnout například na stránky české Wikipedie:

Termín Web 2.0 označuje to, co někteří lidé považují za další fázi vývoje webu, včetně jeho architektury a aplikací. Tato další fáze rozvoje webu se vyznačuje následujícími rysy:

  • Změnou hypertextových stránek z izolovaných úložišť informací na zdroje obsahující informace i funkcionalitu – stávají se tak platformou poskytující webové aplikace koncovému uživateli.
  • Sociální fenomén – tvorba a distribuce webového obsahu je dostupná komukoliv, otevřená komunikace, decentralizace autorit, sdílení a znovuvyužití.
  • Více organizovaný a setříděný obsah s propracovanější hyperlinkovou strukturou.

Pokud se podíváme na Web 2.0 pohledem bezpečnosti, spatřují odborníci jedno z rizik v širokém použití JavaScritpu, který ale nachází uplatnění také v řadě dalších aplikací. Navíc JavaScript má poměrně omezené možnosti ve zpracování potenciálně škodlivých příkazů, takže zde zřejmě nemůžeme čekat přelomově nové útoky. Pokud chcete zalistovat možnostmi útoků na stránky s Webem 2.0, zavítejte například na tento článek serveru Net-security.org.

Informace takřka pro každého

Z ukázkových příkladů zneužití aplikací Webu 2.0 lze v minulosti vylovit například úspěšného červa Yamanner, který se zaměřoval na webové rozhraní schránek Yahoo Mail a dokázal uživatele automaticky infikovat zneužitím zranitelnosti ve zpracování JavaScriptu. V důsledku tak stačilo otevřít škodlivou zprávu s předmětem New Graphic Site a Yamanner se již mohl bez dalších aktivit dostat do uživatelova počítače. Poté posbíral všechny dostupné e-mailové adresy v seznamu kontaktů a šířil se jejich prostřednictvím dál, navíc je odeslal také na centrální server. Pro populární MySpace se pak objevily například viry Samy nebo Spaceflash.

Pokusy o nové a čistě technické zneužití nových webů s přívlastkem 2.0 se zřejmě objeví časem, v současné době je zajímavější sledovat spíše útoky založené na sociálním aspektu. Stránek, které uživateli nabízejí vyplnění rozličných doplňujících informací, přibývá, stejně tak jedinců, kteří zde tyto údaje milerádi poskytnou. A to i přesto, že řada z odpovídajících položek spadá pouze do kategorie volitelných. Každý si teď nejspíše řekne, že jemu podobné riziko nehrozí. Možná ne, ale ruku na srdce: kdy jsme naposledy při registraci libovolné služby nebo instalaci softwaru poctivě přelouskali nabídnuté podmínky užívání předtím, než jsme je více méně automaticky odsouhlasili pro dokončení registrace?

O tom, jak si někteří uživatelé nedokážou všimnout tenké hranice mezi světem soukromých informací a bezbřehých vod moderních internetových služeb, svědčí také dřívější informativní článek na serveru Computerworld. Například k aplikaci Google Calendar řada uživatelů přistupuje příliš otevřeně, a to v případě, že jsou špatně nastavena práva. Chyba je tak samozřejmě na jejich straně, nedokáží odhadnout, které informace umístit do soukromého a které do veřejného kalendáře. Google Calendar v odkazovaném zdroji je pouze jedním z příkladů, přesto ale upozorňuje na to, že moderní webové služby musejí přes veškerou uživatelskou přítulnost dbát také na trochu těch otravných varovných dialogů, které čas od času zdržují, ale při masovém použití širokým spektrem klientů jsou přece jen nezbytné.

Web široké veřejnosti

Podobně jako v počátcích phishingu, také v případě Webu 2.0 řada uživatelů bourá své vlastní bezpečnostní zásady a je ochotna o sobě poskytnout některé vyloženě soukromé informace. V komunitě to přece nevadí, ne? Ale vadí, stejně jako v kterémkoliv jiném případě, kdy nelze s určitostí identifikovat uživatele na „druhém konci drátu“. V neposlední řadě zde může být také další nepřímé riziko, a to v podobě hrozby instalace dalších komponent.

KL_HLASOVANI

Již zavedené služby, jako například Flickr, zřejmě ze dne na den nepřinesou podezřelé doplňky a rozšíření webových prohlížečů, nebezpečí však může číhat v podání nových stránek, které v kabátku příjemného webového rozhraní doporučí také instalaci dalšího softwaru. Bohužel se stále najde dostatek uživatelů, kteří neodolají a spyware si do počítače dobrovolně pozvou. Opět ale nutno podotknout, že se nejedná čistě o trend Webu 2.0, spíše o nadále trvající zneužívání přespříliš důvěřivých uživatelů a průzkumníků nových služeb.

Suma sumárum: spartánským rozhraním webových služeb zvoní hrana, web se transformuje. Jen se stihly rozvířit vody kolem Webu 2.0, už se diskutuje na téma nadcházejícího Webu 3.0. Na jednu stranu určitě příjemné změny k lepšímu co do uživatelského komfortu, na stranu druhou více práce s ošetřením kódu pro samotné vývojáře. Jen čas ukáže, jak rychle a úspěšně bude pokračovat osvěta všech uživatelů – web stále více naplňuje příslib „vše pro všechny“ a s tímto myšlením také musíme přistupovat k bezpečnosti.

Anketa

Budou podle vás přibývat útoky na služby Webu 2.0 a objeví se nové druhy?

Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu