Na novoty ve starém
Takzvaný Web 2.0 se stal poměrně hojně diskutovaným fenoménem jak na straně uživatelů, tak vývojářů. Prvně jmenovaní dokážou plnými doušky hltat rozšířenou interaktivitu a příjemná uživatelská rozhraní tvorby vlastního obsahu, ti druzí zase po zvládnutí ajaxových kouzel mohou nabídnout víc. A o to přece dnes jde ve všech oblastech – zaujmout něčím novým (alespoň doposud) a zatraktivnit svůj výtvor. S příchodem nového pojetí webu ale vyvstávají také otázky ohledně nových bezpečnostních trablů.
Označení modernějšího webu pojmem Web 2.0 nemá zcela pevně vytyčené hranice, po jedné z definic můžeme sáhnout například na stránky české Wikipedie:
Termín Web 2.0 označuje to, co někteří lidé považují za další fázi vývoje webu, včetně jeho architektury a aplikací. Tato další fáze rozvoje webu se vyznačuje následujícími rysy:
- Změnou hypertextových stránek z izolovaných úložišť informací na zdroje obsahující informace i funkcionalitu – stávají se tak platformou poskytující webové aplikace koncovému uživateli.
- Sociální fenomén – tvorba a distribuce webového obsahu je dostupná komukoliv, otevřená komunikace, decentralizace autorit, sdílení a znovuvyužití.
- Více organizovaný a setříděný obsah s propracovanější hyperlinkovou strukturou.
Pokud se podíváme na Web 2.0 pohledem bezpečnosti, spatřují odborníci jedno z rizik v širokém použití JavaScritpu, který ale nachází uplatnění také v řadě dalších aplikací. Navíc JavaScript má poměrně omezené možnosti ve zpracování potenciálně škodlivých příkazů, takže zde zřejmě nemůžeme čekat přelomově nové útoky. Pokud chcete zalistovat možnostmi útoků na stránky s Webem 2.0, zavítejte například na tento článek serveru Net-security.org.
Informace takřka pro každého
Z ukázkových příkladů zneužití aplikací Webu 2.0 lze v minulosti vylovit například úspěšného červa Yamanner, který se zaměřoval na webové rozhraní schránek Yahoo Mail a dokázal uživatele automaticky infikovat zneužitím zranitelnosti ve zpracování JavaScriptu. V důsledku tak stačilo otevřít škodlivou zprávu s předmětem New Graphic Site a Yamanner se již mohl bez dalších aktivit dostat do uživatelova počítače. Poté posbíral všechny dostupné e-mailové adresy v seznamu kontaktů a šířil se jejich prostřednictvím dál, navíc je odeslal také na centrální server. Pro populární MySpace se pak objevily například viry Samy nebo Spaceflash.
Pokusy o nové a čistě technické zneužití nových webů s přívlastkem 2.0 se zřejmě objeví časem, v současné době je zajímavější sledovat spíše útoky založené na sociálním aspektu. Stránek, které uživateli nabízejí vyplnění rozličných doplňujících informací, přibývá, stejně tak jedinců, kteří zde tyto údaje milerádi poskytnou. A to i přesto, že řada z odpovídajících položek spadá pouze do kategorie volitelných. Každý si teď nejspíše řekne, že jemu podobné riziko nehrozí. Možná ne, ale ruku na srdce: kdy jsme naposledy při registraci libovolné služby nebo instalaci softwaru poctivě přelouskali nabídnuté podmínky užívání předtím, než jsme je více méně automaticky odsouhlasili pro dokončení registrace?
O tom, jak si někteří uživatelé nedokážou všimnout tenké hranice mezi světem soukromých informací a bezbřehých vod moderních internetových služeb, svědčí také dřívější informativní článek na serveru Computerworld. Například k aplikaci Google Calendar řada uživatelů přistupuje příliš otevřeně, a to v případě, že jsou špatně nastavena práva. Chyba je tak samozřejmě na jejich straně, nedokáží odhadnout, které informace umístit do soukromého a které do veřejného kalendáře. Google Calendar v odkazovaném zdroji je pouze jedním z příkladů, přesto ale upozorňuje na to, že moderní webové služby musejí přes veškerou uživatelskou přítulnost dbát také na trochu těch otravných varovných dialogů, které čas od času zdržují, ale při masovém použití širokým spektrem klientů jsou přece jen nezbytné.
Web široké veřejnosti
Podobně jako v počátcích phishingu, také v případě Webu 2.0 řada uživatelů bourá své vlastní bezpečnostní zásady a je ochotna o sobě poskytnout některé vyloženě soukromé informace. V komunitě to přece nevadí, ne? Ale vadí, stejně jako v kterémkoliv jiném případě, kdy nelze s určitostí identifikovat uživatele na „druhém konci drátu“. V neposlední řadě zde může být také další nepřímé riziko, a to v podobě hrozby instalace dalších komponent.
Již zavedené služby, jako například Flickr, zřejmě ze dne na den nepřinesou podezřelé doplňky a rozšíření webových prohlížečů, nebezpečí však může číhat v podání nových stránek, které v kabátku příjemného webového rozhraní doporučí také instalaci dalšího softwaru. Bohužel se stále najde dostatek uživatelů, kteří neodolají a spyware si do počítače dobrovolně pozvou. Opět ale nutno podotknout, že se nejedná čistě o trend Webu 2.0, spíše o nadále trvající zneužívání přespříliš důvěřivých uživatelů a průzkumníků nových služeb.
Suma sumárum: spartánským rozhraním webových služeb zvoní hrana, web se transformuje. Jen se stihly rozvířit vody kolem Webu 2.0, už se diskutuje na téma nadcházejícího Webu 3.0. Na jednu stranu určitě příjemné změny k lepšímu co do uživatelského komfortu, na stranu druhou více práce s ošetřením kódu pro samotné vývojáře. Jen čas ukáže, jak rychle a úspěšně bude pokračovat osvěta všech uživatelů – web stále více naplňuje příslib „vše pro všechny“ a s tímto myšlením také musíme přistupovat k bezpečnosti.