NINJA: polski komunikator aspirujący do miana „bezpiecznego”. Czy słusznie?

NINJA: polski komunikator aspirujący do miana „bezpiecznego”. Czy słusznie?29.08.2014 17:50
Redakcja

W czasach gdy trudno mówić o poszanowaniu prywatności i różnych doniesieniach dotyczących szpiegowania, jak chociażby tych związanych z działalnością NSA, każda usługa zwracająca na nią uwagę wydaje się na wagę złota. Niektóre wypadają lepiej, inne z kolei gorzej. Część może być nastawiona na oszukiwanie użytkowników, część jest natomiast stworzona nie do końca tak, jak powinna. Całkiem interesujący wydaje się webowy komunikator NINJA przygotowany przez polską firmę EC2.

Jeżeli nazwa tej firmy nic wam nie mówi, to producent uspokaja tłumacząc, że istnieje na rynku już od 2006 roku i zajmuje się tworzeniem różnych rozwiązań informatycznych. W jej portfolio znaleźć możemy projekty związane z administracją publiczną, także takie związane z obiegiem wrażliwych danych i dokumentów. Firma ta postanowiła swoją wiedzę wykorzystać do budowy usługi-komunikatora, którym miały na celu zadbanie o bezpieczeństwo użytkownika. Aby nie przywiązywać użytkowników do tylko jednej platformy, zdecydowano się na wersję webową, odpowiednią stronę, na której użytkownicy mogą tworzyć bezpieczne czaty.

Okno główne czatu jest nad wyraz minimalistyczne
Okno główne czatu jest nad wyraz minimalistyczne

Musimy przyznać, że forma w jakiej poinformowano nas o istnieniu usługi, a także sama witryna nie zachęcają do skorzystania z niej. Widać tu dobitnie prace wykonywane na szybko, bez dbałości o szczegóły i wodotryski graficzne. Oczywiście w przypadku komunikatora, który ma zapewnić nam bezpieczeństwo nie jest to problemem, budzi jednak mieszane uczucia, w których nie ma miejsce na zaufanie. Według przesyłanych nagłówków, serwer komunikatora korzysta z rozwiązań firmy Microsoft tj. serwera www Microsoft-IIS/8.5, a także ASP.NET 4.0. Oczywiście nie musi tak być naprawdę, bo nagłówki można zmienić. Producent chwali się tym, że bezpieczeństwo i poufność rozmów zapewniają połączenia SSL/TLS 1.2 szyfrowane kluczem 128-bitowym. Czy to aby nie za mało?

Strona umożliwia założenie nowego czatu (wymagana nazwa i nick otwierającego), lub dołączenie do istniejącej rozmowy. Sam czat jest równie spartański co strona główna. Ciemne tło, lista osób, lista wiadomości i możliwość uploadu plików do 4 MB. Jeżeli zechcemy zaprosić inną osobę, otrzymamy specjalny link i PIN dostępowy, który musimy jej przekazać (innym kanałem, pewnie już niezabezpieczonym). Znajdziemy tu także wskaźnik „poziomu bezpieczeństwa” w formie podobnej do sygnalizacji świetlnej. Oznacza on nic innego, jak nieuprawnione próby wejścia na czat. Po pierwszej takiej próbie zapala się żółte oznaczenie, po drugiej czerwone, które sugeruje, że czat może już nie być bezpieczny i zalecane jest rozłączenie się. Proste, ale czy tak naprawdę cokolwiek to nam mówi? Czat według producenta może być używany nie tylko na komputerach, ale także na przeglądarkach smartfonów czy tabletów. Spróbowaliśmy i efekty nie były najlepsze: strona wyraźnie nie jest dostosowana do tego typu urządzeń. Nie pomógł spory ekran 5,2”, ani nowoczesna przeglądarka Chrome, która dobrze wspiera technologie webowe. Na szczęście producent zapowiedział już, że w drodze są aplikacje na Androida i iOS.

Korzystanie z czatu na urządzeniach mobilnych nie należy do najprzyjemniejszych
Korzystanie z czatu na urządzeniach mobilnych nie należy do najprzyjemniejszych

Niestety w informacjach przekazywanych przez firmę nie ma słowa o faktycznym zabezpieczaniu wiadomości. Jeżeli ktoś będzie w stanie przełamać zabezpieczania kanału szyfrowanego, zyska dostęp do przesyłanych informacji. Producent deklaruje, że nie zapisuje na serwerze żadnych danych, wszystkie niezbędne dane sesji są przechowywane w pamięci RAM i automatycznie usuwane wraz z zakończeniem rozmowy. Treści rozmów mają być z kolei przesyłane tylko pomiędzy użytkownikami, bez zapisywania ich na serwerze. Nie możemy mieć jednak takiej pewności, bo jako użytkownicy końcowi nie mamy pojęcia, co siedzi w środku tej „czarnej skrzynki”. Publicznie dostępne dane zdradzają jedynie stan konfiguracji samego szyfrowanego kanału – tutaj wszystko wygląda dobrze, bo firma zabezpieczyła się na wypadek ataków typu BEAST, a certyfikat nie jest podatny na lukę heartbleed. Mimo wszystko, przy aktualnym stanie tego projektu ciężko jest go nam polecić.

Producent informuje, że w sieci brakuje rozwiązań, które zapewniają rozmówcom 100% poufności, ratunkiem ma być Ninja. To prawda, przynajmniej jeżeli chodzi o pierwszą część zdania. Faktycznie nie istnieje w 100% bezpieczne rozwiązanie, bo bezpieczeństwo jako takie to stan „płynny” i zależny od setek czynników. Istnieją jednak rozwiązania, które są w stanie zapewnić odpowiedni poziom bezpieczeństwa oferując wygodę znacznie wyższą, niż to co oferuje nam firma EC2. W przypadku wielu komunikatorów możemy bowiem wykorzystać protokół kryptograficzny OTR, który zabezpieczany nasze rozmowy dodatkowo, pomimo szyfrowanego kanału. Przy jego zastosowaniu staną się one nieczytelne także dla administratorów np. serwerów XMPP, a o to właśnie chodzi w poufności informacji. Projekt EC2 niestety nas do siebie nie przekonuje.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na