Špatně nastavených webů najdete na internetu jako máku, ale je hned několik věcí, které můžete rozeznat samotní a dát si na takový web pozor. Vždy je dobré určovat míru zabezpečení podle obsahu webu. Pokud se jedná o web pouze se strohými informacemi, asi ani neočekáváte, že bude tak zabezpečený jako vaše internetové bankovnictví. Pojďme se tedy na to podívat, jak takové chyby můžete lehce odhalit sami!
1) Ze stránky je možné zaslat vaše zapomenuté heslo v původním znění
Pokud vám dokáží ze stránky zaslat vaše heslo v přesné podobě (běžně na e-mail), jak ho zadáváte, je zde obrovská chyba! Značí to mimo jiné to, že toto heslo mají uložené v databázi (nešifrovaně) a mohou se na něj dívat. Věřte nebo ne, toto není běžné. Samozřejmě vaše „heslo“ v databázi je, ale je zašifrované a mělo by být prakticky nemožné z tohoto šifrovaného hesla dosáhnout zpět na nešifrované. Toto je důvod, proč by vám vždy měl přijít e-mail s resetováním hesla tak, že si vytvoříte nové, nikoliv s vaším starým.
2) Jednou z nejběžnějších chyb je problém s certifikátem
Pokud web běží na zabezpečeném HTTPS protokolu, musí mít potvrzující certifikát, který se však po určitém časovém období musí obnovit (aktualizovat). Všichni zapomínáme a u administrátorů webů je to stejné. Většina těchto chyb je z důvodu zapomenutí provedení obnovy. Na tento web je možné přistoupit, ale nezapomeňte, že se budete pohybovat na protokolu HTTP (NEZABEZPEČENĚ), takže se k tomu tak chovejte (blíže bude rozvedeno na dalších řádcích). Pokud na takový web chcete přece jen jít, doporučil bych hned najít kontakt a zavolat na jejich podporu, aby to opravili. Zbytek brouzdání a nakupování nechte raději až po opravě.
Pokud vám na této podpoře řeknou, že to nevadí, že to nenarušuje funkce a můžete v pohodě pokračovat v nákupu, tak se jim vyhněte sakra velkým obloukem! (vlastní zkušenost)
3) HTTP / HTTPS
Samotné stránky s čistými informacemi na protokolu HTTP nejsou až tak problematické (bez plateb, přihlášení a ničeho podobného). Ale NIKDY, opakuji NIKDY se na nich nepřihlašujte/neregistrujte a už vůbec za nic neplaťte. Protože na stránkách pracujících na protokolu HTTP vám může skoro kdokoli předhodit (obsah stránek, který by tam neměl být) nebo změnit cokoliv (např. číslo účtu, na který posíláte peníze), uložit si a celkově dělat s vaším požadavkem na server, co se mu zlíbí. V případě plateb může dokonce útočník odposlouchávat vaši internetovou komunikaci, ovlivnit její průběh, změnit například číslo účtu a vy nezaplatíte obchodu, ale útočníkovi.
U HTTPS je to o něco lepší, protože každý požadavek na server je u vás šifrovaný a na serveru zase dešifrovaný a stejným způsobem to jde zpět, takže odposlech nebo změna obsahu je mnohem těžší.
Absolutně největší hloupost je přihlašovat se/platit na webu s HTTP, když jste připojení k veřejné WIFI. Obvykle mají WIFI router v základním nastavení, tedy spíše „nenastavení“.
4) Změna e-mailu, telefonu bez schválení
Právě toto je jeden z důležitých faktorů, často však opomíjených. Pracuje se zde s tím, že útočník již má vaše přihlašovací údaje, snaží se získat plný přístup k vašemu účtu a abyste se tam vy už nedostali. Pokud by nezměnil e-mail, vy byste si stále mohli zaslat nové heslo a získat účet zpět. V případě, že je možné změnit váš e-mail nebo telefonní číslo bez toho, abyste alespoň klikli na nějaký schvalovací odkaz nebo opsali kód který vám přijde, je zde sakra velké riziko.
Jako všechno v životě nelze naprosto vše ovlivnit, snižovat riziko však může každý z nás. Toto je jen pár zásad, díky kterým může člověk celkem jednoduše zkontrolovat a dostat základní informace k tomu, aby zjistil, jestli na takové stránce chce zůstat, zkusí oslovit administrátora s požadavkem na nápravu nebo půjde raději o web dále.
