VIDEO: Michal Špaček: Jak zvýšit zabezpečení vašeho webu?

Toto je možná nejdůležitější rozhovor, jaký jsem kdy natočil. Týká se totiž bezpečnosti e-shopů a velmi kriticky zodpovídá otázky, zda by se i malý e-shop měl bát napadení, jak se může bránit a jaké bezpečnostní minimum by měl splňovat.

Inzerce

Rozhovor s webovým bezpečnostním expertem Michalem Špačkem jsem natočil jako reakci na dění v uplynulých měsících. Mluví se o nasazování HTTPS na webové stránky, o hackerských útocích, o ukradených e-mailech českého premiéra a o stále rostoucím tlaku na bezpečnost webů.

Jenomže pro většinu malých hráčů je bezpečnost něco, na co nemají peníze, čas nebo třeba znalosti. Netuší, jaká bezpečnostní rizika jim hrozí a že i provozovatele malého e-shopu může někdo napadnout a následně třeba vydírat (což se opravdu stalo a ve videu to rozebíráme).

Zároveň jsem videem chtěl zasadit některé polovičaté informace do širšího kontextu. Zajímalo mne, co vlastně řeší HTTPS a jak konkrétně zvyšuje bezpečnost webu. Zjistil jsem třeba to, že není každý zelený adresní řádek stejný a že většina uživatelů mu vůbec nerozumí. Kromě toho jsme ale odkryli několik tipů, jak si můžete otestovat bezpečnost e-shopu a jak prověřit zabezpečení e-shopového řešení vašeho dodavatele.

Na českém internetu je mnoho informací o tom, jak se mají chránit uživatelé. Je tu ale pramálo doporučení pro samotné tvůrce webů. Tímto videem to změníme a předáme vám základní náhled do problematiky bezpečnosti webových stránek, díky kterému vám možná mnoho věcí dojde. Pokud chcete bezpečnosti na českém a slovenském internetu pomoci, sdílejte rozhovor, ať se z něj může poučit co nejvíce uživatelů i provozovatelů webů.

Co se dozvíte (a měli byste to vědět)?

• Jaká reálná bezpečnostní rizika hrozí e-shopům (a to i těm malým)?
• Jak se v praxi odposlouchávají weby?
• Jaké je bezpečnosti minimum, které by měl splnit každý e-shopař?
• Jak funguje HTTPS a co ve skutečnosti zabezpečuje?
• Jaký certifikát byste si měli vybrat zrovna pro váš e-shop?
• Jak HTTPS souvisí s Edwardem Snowdenem a NSA?
• Jak poznat, že vám dodavatel e-shopového řešení dodá bezpečný e-shop?

A mnoho dalšího.

Nástroje, které vám mohou pomoci:

Michal pro vás připravil seznam užitečných nástrojů a zdrojů, které vám ve vaší znalosti bezpečnosti webů mohou pomoci.

• HTTPS Everywhere – rozšíření pro browser, které má seznam webů, které umí i HTTPS, ale standardně ho nepoužívají. Uživatele pak posílá na tu šifrovanou variantu.
• SSL Server Test – otestování kvality HTTPS na vašem webu (měli byste mít známku A nebo A+)
• SecurityHeaders.io – otestování bezpečnostních hlaviček na webu (měli byste také mít známku A nebo A+)

Michalovy zdroje:

• školení bezpečnosti webů
• článek o zvyšování bezpečnosti Slevomat.cz
• nejčastější bezpečnostní chyby na českých webech (vysvětleny „pro lidi“)
• příklad ukradeného sezení administátorovi
• podrobnější informace o HTTPS
• další informace trochu techničtějšího rázu
• Michalův Twitter
• Michalův Facebook

Doporučené články a videa pro e-shopaře:

• Jak probíhá vývoj e-shopového řešení a na co si dát pozor?
• Konkurenční výhoda: Jak by si ji e-shop měl najít?
• Nejčastější chyby v SEO při vývoji e-shopu. Dopustili jste se jich také?

Rozhovor najdete i na iTunes, případně si zde můžete stáhnout MP3.

Použitá melodie: Steve Combs – Zero (CC BY 4.0)