Hlavní navigace

Kladivo na francouzské uživatele: Pozor, nebezpečí úrazu!

12. 4. 2011
Doba čtení: 5 minut

Sdílet

 Autor: 74287
Už nebude zapotřebí vymýšlet silná hesla. I tak by v extrému mohl skončit plánovaný návrh nového francouzského zákona, který nárokuje možnost získání citlivých údajů.

Různá omezení Internetu, blokace uživatelů a cenzura jsou známé především z asijských zemí, v čele s nesmrtelnou Čínou, tedy alespoň v tomto ohledu. Občas se však různé kontroverzní návrhy a nová nařízení objeví i v geograficky bližších oblastech, zákonodárci se snaží držet krok a získat větší uchopitelnost informací a uživatelů v Síti. Minulý týden takto rozvířil nový plán francouzské vlády, která přišla s velice razantním „řešením“, mezi prvními na kauzu upozornila společnost BBC.

Francouzská vláda chce zavést povinnost uchovávat osobní data jednotlivých uživatelů po dobu jednoho roku. Problém však nastává s tím, že se jedná o velice citlivé informace, jmenovitě jméno a příjmení uživatele, jeho poštovní adresu, telefonní číslo, a dokonce také přístupová hesla. Na požádání by pak bylo možné ze strany státu o vybraném uživateli (tedy vzhledem k rozšířenosti webových služeb drtivou většinu občanů) získat všechny tyto informace.

Přístup k takovýmto údajům by neměla pouze policie v rámci konkrétního vyšetřování, ale také například daňová správa, správa sociálního zabezpečení nebo celní správa. Spektrum institucí a jejich zástupců, kteří by měli právo nakládat se soukromými údaji, je tedy velice široké. Francouzská vláda tak navrhuje zavedení velice kontroverzní povinnosti, a není proto divu, že se zvedla obrovská vlna odporu jak z řad koncových uživatelů, tak provozovatelů webových služeb.

Jak jsme vás již informovali v samostatné zprávičce Francouzská vláda si brousí zuby na osobní údaje uživatelů, internetové firmy jsou proti, přes dvacet velkých firem internetového průmyslu tento záměr francouzské vlády napadá u nejvyššího soudního orgánu v zemi, kterým je státní rada. Cílem je zabránit, aby takový zákon začal platit. Odpůrci kromě jiného poukazují na to, že Francie svůj záměr nekonzultovala s Evropskou komisí a vytváří tak velmi specifické podmínky, které mohou komplikovat činnost hlavně nadnárodním firmám.

Osobní informace a přihlašovací údaje možná nebudou tak zabezpečené, jak by bylo zapotřebí

Pečlivě střežená hesla

Hlavní odpor k navrhovanému nařízení se vznesl ze strany ASIC (The French Association of Internet Community Services), tedy asociace internetových firem působících ve Francii. Mezi nejvlivnější a co do popularity největší zástupce patří například Google, Facebook či eBay, celkem tato organizace čítá přes dvacet velkých členů. Jedním z problémů, které jejich mluvčí uvedl, je právě omezení na lokální francouzský trh – všechny jmenované firmy nabízejí své služby po celém světě, a tak by takovýto zásah způsobil úpravu místních podmínek jen pro dané francouzské teritorium.

Největší potíže ale samozřejmě nastávají s nutností uchovávat hesla tak, aby je internetové společnosti mohly poskytnout na vyžádání úředním orgánům. Vždyť právě velcí hráči v oblasti webových služeb si nikdy nemohou dovolit mít důležité přístupové údaje ukládané v otevřené podobě, resp. tak, aby z nich bylo možné zpětně získat původní heslo. Pokud dnes při žádosti o obnovení nebo reset hesla e-mailem přijde jeho původní tvar, logicky si uživatel poklepe na hlavu a pošle danou službu do věčných lovišť (slušně řečeno).


Autor: Čepský Pavel

Hash kódy nemají pouze kontrolní funkci, ale hojně se využívají i pro zabezpečení záznamů uložených v databázích. Hesla nevyjímaje

Provozovatelé webových služeb chrání hesla a další údaje o svých uživatelích co možná nejpřísnějšími měřítky. Hlavním parametrem jsou například hashování funkce s maximálním naplněním jednosměrnosti. Jinými slovy díky tomu, že heslo není ukládané ve své původní textové podobě, ale ve formě výsledného hash kódu, není výpočetně možné získat z hash kódu původní heslo, tedy alespoň v současné době. To platí pro silnou hashovací funkci, s výhodou lze posílat nebo uchovávat heslo v podobě výsledného hash kódu a při autentizaci tento otisk porovnávat s otiskem uživatelova aktuálního vstupu. Na minimum se tak omezí použití nezabezpečené plain-text formy, která sama o sobě svádí ke všem variantám útoku man in the middle. K tomu jsou přidávány různá další vylepšení, například solení nebo silné šifrování.

A nyní by provozovatelé webových služeb ve Francii měli tyto léta budované zámky lusknutím prstu odstranit? V praxi by to v nejhorším případě při splnění návrhu znamenalo ukládání hesel v otevřené podobě, alternativně pomocí různých přístupových hesel do databází, k nimž by však měly přístup jen vybrané instituce či skupina osob. První varianta nemůže projít snad ani v nejdivočejších snech, druhá zase přenáší obrovskou zodpovědnost a nemalý vývoj de jure ze strany postižených firem. Není proto divu, že návrh rozpoutal bouři nevole.

Epicentrum opět ve Francii

Celý návrh na vylepšení francouzského internetu tedy na první pohled působí jako ušitý velice horkou jehlou. Jako by úředníci a zákonodárci soutěžili, kdo dokáže narychlo spíchnout inovaci, ale technické zázemí nebo problémy při uvedení do praxe příliš neřešili. Jedno je však už nyní jisté: Francie na sebe ve spojení se síťovým světem a zasahováním vlády do kontroly nad internetovým děním opět neslavně upozornila před celým světem. To už abychom u nás byli vděční za peníze utopené v legendárním projektu Červeného tlačítka, které alespoň vyvolávalo dojem pozitivního dopadu, pokud by v praxi opravdu fungovalo a přinášelo výsledky.

BRAND24

Mezi odbornou veřejností se rozpoutala diskuze, zda by velcí hráči byli po prosazení zákona ochotni omezit, případně zcela zakázat podporu svých služeb v daném regionu. Uživatelé by pak na základě svého vlastního rozhodnutí jako by neoficiálně využívali službu v zahraničním provedení, a tak by se jich restrikce nemusely týkat. Tato myšlenka je hodně odvážná, ať už z pohledu dané legislativy nebo s ohledem na nezanedbatelnost velikosti francouzského trhu. Přikláním se k převládajícímu názoru, že ústupky (nikoliv kompletní stažení) ze strany vlády přijdou, i když přes zřejmě nezbytné předchozí tahanice.

Po dřívějším sporném zákonu Třikrát a dost, který vyvolal řadu názorových klinčů, by měla přijít o poznání větší rána. Byť jsou možná prvotní úmysly vlády dobré, nelze čekat kompletní naplnění stávajícího návrhu. Co si o celé kauze myslíte vy? Přispějte do diskuze níže pod článkem a podělte se o svůj názor.

Byl pro vás článek přínosný?

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).