Jaké weby jsou bezpečné a kde změnit heslo?

Teoreticky až u dvou třetin webů se zabezpečeným přístupem mohl útočník zjistit vaše přístupové údaje. Jaké weby jsou bezpečné a u kterých se hodí změnit heslo?
Jaké weby jsou bezpečné a kde změnit heslo?

Bezpečnostní chyba známá pod jménem Heartbleed bug teoreticky umožňuje sledování zabezpečené komunikace webových serverů. Z pohledu běžných uživatelů to znamená, že ani u webů se zabezpečeným přístupem (https://) si nemohou být jisti, že někdo získá přístup k odeslaným informacím, tedy i k přístupovým údajům. Jenomže netýká se to všech serverů a u těch dotčených už se vehementně aplikují záplaty. Přinášíme proto postupně rozšiřovaný přehled bezpečných webů.

Samozřejmě se nejprve nabízí otázka, jak je na tom internetové bankovnictví – oslovené české banky využívají jiné šifrovací prostředky a shodně odpovídají, že se jich tento problém netýká. Jiné už to je u zahraničních služeb, nebo u různých českých webových služeb.

Má smysl změnit heslo?

Některé webové servery nevyužívají knihovnu OpenSSL verze 1.0.1, ve které byla chyba nalezena, a u těch žádné nebezpečí související s chybou Hertbleed nehrozí. Některé ji používali, ale již aplikovali opravenou verzi knihovny a jsou dále zabezpečené. U takových stojí za úvyhu pro jistotu změnit heslo.

Nemá však žádný valný efekt měnit heslo u služeb, kde se dotčená OpenSSL pravděpodobně využívá, ale ještě není opravena. U takových vyčkejte na opravu a heslo změňte až poté. A pak jsou webové servery, u kterých s jistotou nevíme, zda vadnou OpenSSL knihovnu využívali, ovšem víme, že nyní zabezpečené jsou. U takových můžete z preventivních důvodů rovněž heslo změnit.

Jak zjistit, zda je web zabezpečený? Rychle vznikly jednoduché nástroje, kde lze web prověřit. Nedozvíte se podrobnosti a zda je vhodné změnit heslo, ale zjistíte, pokud je daný web ještě neopravený. 

Jak ověřit web:

Je však nutné si uvědomit, že chyba sice existovala dva roky, ale byla objevena až teď, a to nikoli na základě úniku hesel či podobného průšvihu. Zjistili ji bezpečnostní experti, okamžitě se sjednala náprava a pro útočníky už proto tato chyba není atraktivní. Apel na změnu hesla je tak spíše doporučením, nikoli nutností. Pokud by tuto chybu útočníci objevili dříve, už by se bezpochyby šířil šedou zónou internetu obrovský balík hesel k účtům na Googlu a dalších službách, podobně jako tomu bylo při velkém úniku hesel z Adobe či Sony.

Postupně rozšiřovaný seznam bezpečných serverů

Provozovatele českých služeb kontaktujeme přímo, u některých stále čekáme na ověření, zda vadné OpenSSL využívali. U zahraničních služeb využíváme informací z amerických zpravodajských webů, které se tématu rovněž věnují, například Mashable a dalších výpisů, například na GitHubu.

  Používá OpenSSL Má opravenou verzi Je bezpečný Doporučená změna hesla
České webové služby
Aukro ano ano ano ano
Centrum.cz ano ano ano ne
MojeID ano ano ano ano
O2 ?   ano  
Seznam.cz ano ano ano ano
T-Mobile ano ano ano ano
Vodafone ?   ano  
Živě.cz / Mladá fronta ano ano ano ano
Banky
Airbank ne   ano ne
Česká spořitelna ne   ano ne
ČSOB ne   ano ne
Fio ne   ano ne
GE Money ne   ano ne
Equa bank ne   ano ne
Komerční banka ne   ano ne
mBank ne   ano ne
Poštovní spořitelna ne   ano ne
Sberbank ne   ano ne
Zuno ne   ano ne
Zahraniční webové služby
500px ano ano ano ano
Amazon ne   ano ne
Apple/iCloud ne   ano ne
Dropbox ano ano ano ano
Facebook ano ano ano ano
Flickr ano ano ano ano
Google/Gmail ano ano ano ano
LastPass ano ano ano ano
LinkedIn ne   ano ne
Microsoft/Outlook.com ne   ano ne
PayPal ne   ano ne
Pinterest ?   ano ano
Tumblr ano ano ano ano
Twitter ano ano ano ano
Vimeo ne   ano ne
Yahoo ano ano ano ano
YouTube ano ano ano ano
Zoho ano ano ano ano

 

Článek patří do rubrik: Web, Bezpečnost


30 komentářů

Diskuze

  • Jetelina , 11. 4. 2014 20:10:05
    LOL, banky jsou největší komedianti... - Tvrdí, že nepoužívají OpenSSL....
  • fff2010 , 11. 4. 2014 16:09:33
    Já bych s okamžitou platností za tenhle článek bez milosti autora zive.cz...
  • itsme , 11. 4. 2014 10:20:11
    Pikantní je že v článku autor píše, že mf.cz/źivě je zalepené, bezpečné a...

Další podobné články


Google se chce obejít bez hesel. Testuje Trust API

Google se chce obejít bez hesel. Testuje Trust API

24.  5.  2016 | Čížek Jakub | 14

Mapy.cz získaly kompletní letecké snímky Rakouska

Mapy.cz získaly kompletní letecké snímky Rakouska

24.  5.  2016 | Čížek Jakub | 7

Sdílel kamarádovi nahé holky přes Drive a přišel o celý účet na Googlu

Sdílel kamarádovi nahé holky přes Drive a přišel o celý účet na Googlu

** Roky si plnil svůj účet na Googlu ** Měl na něm naprosto vše ** A pak jednoho dne soukromě sdílel složku s erotikou

22.  5.  2016 | Čížek Jakub | 113


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.