Proč nemám rád captive portály aneb internet není jen web
Captive portály jsou zlo, které vidím čím dál častěji nejen na různých veřejných hot spotech. Jsou s nimi spojeny různé problémy, kvůli kterým je nemám rád.
Na fóru se někdo ptá na tvorbu captive portálu. Nejdřív jsem tam chtěl napsat svůj názor na věc, ale neudělal jsem to. Jednak to toho člověka asi nezajímá a hlavně je to na delší povídání. Takže jsem si ho nechal rovnou do blogu.
Možná pojem „captive portal“ neznáte, ale určitě znáte to, co označuje. Jde o webovou stránku, která se vám objeví jako první po připojení do cizí sítě. Většinou je to k vidění v různých hotelech, na letištích nebo ve firmách. „Vítejte v naší Wi-Fi, pokud ji chcete použít, přihlaste se.“ Někdy není vůbec potřeba přihlášení, prostě jste jen přivítáni a jeden klik vás dělí od připojení k internetu. A právě ten klik je problém.
Reálný příklad
Docela často jezdím autobusem se Student Agency. Jejich hlasitě proklamovaná Wi-Fi ještě nedávno nestála za nic, teď mají nové autobusy, nové modemy, nové routery a chodí to docela pěkně. Začal jsem to tedy občas používat a v mobilu mám tuhle síť přidanou mezi známé. Telefon se do ní tedy sám připojí, pokud ji uvidí.
Stává se mi, že pak v půli cesty zjistím, že mi nechodí pošta, nefunguje Jabber ani Google Talk a jsem bez připojení. Wi-Fi anténka na mobilu s Androidem sice ukazuje plný signál, ale je bílá, což znamená, že spojení s Google servery nefunguje – tedy že nemáme internet.
A tady je právě zakopaný pes. Abyste se doopravdy připojili, musíte spustit prohlížeč a zkusit načíst libovolnou stránku. Objeví se vám captive portál s nějakým uvítáním a obrázkem autobusu, na kterém najdete tlačítko „Připojit k internetu“ (nebo tak nějak). Teprve po kliknutí na něj se anténka v mobilu rozsvítí modře a začne to fungovat.
Tohle se mi stává nejen ve Student Agency, ale na mnoha dalších místech. Sice se síť tváří, že mě připojila, ale reálně končím na Wi-Fi, která chce odklepnout divný dialog nebo zadat jméno a heslo. Nelze to automatizovat, prostě pokaždé musíte ručně udělat operaci s načtením libovolné stránky.
Internet není jen web
Mnoho uživatelů se dnes dostalo do fáze, kdy pro ně internet znamená web. Existuje ale spousta služeb, které po webu nefungují a používají vlastní protokoly. Jabber, SIP, Skype, BitTorrent, Opera Mini, VNC, SSH… a mnoho z nich využívají i běžní uživatelé. I ti se pak diví, proč jim ten Skype netelefonuje, když Wi-Fi ukazuje „tři čárky“. Stejně tak třeba e-mailový klient nebo ICQ.
Potíž je, že captive portál je řešení nestandardizované, takže o něm počítač neví, neupozorní vás na něj a vy se pak můžete zvencnout, proč to nechodí. S příchodem chytrých mobilů a tabletů na to bude narážet čím dál víc lidí. Dnes je moderní mít samostatnou aplikaci na všechno, takže s přístupem „připojím se a pustím si Facebook“ neuspějete, protože vaše oblíbená aplikace prostě fungovat nebude.
Dokonce jsem někde viděl výborné řešení, kdy portál vyhodil malé prohlížečové okýnko s textem „Jestli chcete používat internet, nechejte tohle okno otevřené.“ Na mobilu? Na tabletu? Jak? Tohle už je čirá hrůza, která vás spolehlivě od používání připojení odradí.
Další legrace se odehraje na zařízeních, která nemají webový prohlížeč. Různé herní konzole, multimediální přehrávače nebo čtečky knih se potřebují připojit ke svému serveru někde v internetu, ale captive portál je pro ně nepřekonatelný problém, protože prostě nemají jak zobrazit webovou stránku.
Jde to líp
Rozumnějším řešením je podle mě to celé postavit na druhé síťové vrstvě, pokud už potřebujeme autentizaci v síti. Na tohle existují standardy jako 802.1X a ve spojení s RADIUS serverem to úspěšně používá třeba akademická síť Eduroam, ale i mnoho dalších. S podporou není celkem problém, umí to už dnes prakticky všechny Wi-Fi krabičky pod názvem WPA2 Enterprise.
Zásadní rozdíl v přístupu proti captive je v tom, že se o nutnosti přihlásit počítač dozví od síťového rozhraní (ať už drátového nebo bezdrátového) a sám zajistí odeslání přihlašovacích údajů. Není tedy třeba ručně otevírat nějaký prohlížeč, ale zařízení nás samo vyzve k zadání údajů. Co víc, umí si je i zapamatovat a příště je poslat bez uživatelského zásahu.
Navíc tu ještě vstupuje bezpečnostní otázka, o kterou jde u podobných řešení především (kromě zmíněného Student Agency). U captive portálu stačí jednoduše na síti odposlechnout heslo nebo rovnou MAC adresu a jste uvnitř. Technicky je to hra na pár minut. Na WPA2 Enterprise není takový postup možný, protože celá komunikace je šifrovaná a bez znalosti klíčů se za někoho jiného vydávat nemůžete.
Pokud nemusíte, nepoužívejte prosím captive portály.
-
Související články na blogu Petr Krčmář: blog nejen o Linuxu
-
Tip: aby se dlouhé články četly lépe 13. 2. 2014 21:58
-
Virtuální server mám u Virtualmaster 9. 12. 2011 12:33
-
Pár zajímavých čísel z Google 12. 10. 2011 11:55
-
Konečně jsem zrušil Facebook, důvodem byla Timeline 30. 9. 2011 13:49
-
Pravděpodobné zprávy o počasí 22. 8. 2011 10:30
-
O Proluxu se nesmí říkat "jak svině" 12. 5. 2011 11:31
-
-
Související články na ostatních blozích
-
Raz do roka hra prvý (revival ^ 16) 4. 1. 2017 22:00
-
Výprodej na LinuxMarketu 15. 8. 2015 10:08
-
Akce Linux Mint a další... 11. 5. 2015 18:17
-
Certifikát Heuréky 4. 3. 2015 7:32
-
Keď diskusia trvá 14 rokov (revival ^ 14) 4. 1. 2015 22:00
-
Povánoční slevy již nyní 23. 12. 2014 15:29
-
-
Elven (neregistrovaný)
Bleee, celé tieto "click sem" veci. Narazil som na divnú vec, keď som potreboval pracovať so sieťou, ktorá mala naozaj zlý signál, išlo to pomaly. Pri grafickom prehliadači to bolo utrpenie. Na druhý deň som spustil textový prehliadač, a čuduj sa svete, vôbec nič. Musel som spustiť grafický, tam niečo odklepnúť a až potom som mohol používať textový. No je toto treba?
-
Hue (neregistrovaný)
Nelze to automatizovat? Pokud se do sítě připojuju poprvý tak ne, ale když tu síť znám a už jsem s ní někdy přišel do styku, není to až takový problém. Prostě po připojení k dané síti se spustí curl, to pošle požadovaná data, a je hotovo. Úspěšně provozuju na notebooku (wicd) pro několik sítí.
Taky jsem viděl u jednoho telefonu (myslímže HTC ChaCha), že po připojení na síť s captive portálem vyskočila hláška zhruba ve smyslu "Připojení nebude fungovat, dokud se nepřihlásíte. Chcete spustit browser?" -
zajDee (neregistrovaný)
Captive portály jsou důsledkem toho, že pro velkou část světa "internet" = "web". Jejich správci pak předpokládají, že první, co po připojení uděláte, je načtení nějaké oblíbené stránky (budete na webu = budete "na internetu").
Je to zrůdnost a osobně opravdu nechápu, k čemu je to dobré - zvlášť u free wifin typu Student Agency nebo McDonald's.
Bohužel, dokud nezmění správci takových hotspotů své uvažování, zbývají asi jen dvě varianty:
- používat vlastní mobilní připojení
nebo
- smířit se s tím a využívat všech možných prostředků v systému, jak se "přihlásit" hned po připojení.Například v jablečném světě vám po připojení k takovému hotspotu ihned vyskočí webkitové okno s přihlašovacím dialogem. Rychlé, praktické. Jenže třeba mně nevyhovuje ani tohle, proto jsem si např. síť McDonald's ze známých sítí vyhodil - jinak se mi při každém průchodu otevírala v kapse kudla - err, tedy login stránka :)
-
Ondřej Caletka (neregistrovaný)
Captive portály jsou zlo a nemám je rád. Na druhou stranu, když v Praze jezdí reklamní tramvaj s WiFi, kde je ta wifi síť určena primárně k informování cestujících o produktech inzerenta, jak takovou věc vyřešit bez captive portálu?
Zmíněné autobusy Student Agency, to je neštěstí. Celý captive portál tam pravděpodobně existuje jen proto, že to mají postavené na platformě Mikrotik, kde je zřejmě aktivace captive portálu otázkou několika kliknutí. Vnucené stránce přitom dominuje jakýsi flashový objekt, který můj mobil stejně nezobrazí :)
V reakci na zápisek jsem si nainstaloval program Captivate https://play.google.com/store/apps/details?id=com.zachklipp.captivate&feature=search_result
Neumí sice automatické přihlášení, ale aspoň upozorní na to, že v připojené Wi-Fi síti není Internet.
-
Majkl (neregistrovaný)
Captive je něco, co nesnáším... I třeba proto, že firemní notebook je konfigurován tak, že po nepojení IP sítě je jediné, co lze spustit a funguje je VPN klient do firemní sítě, nic jiného nefunguje a je blokováno, takže ta IPsec ptákovina samozřejmě neprojde a nedá se spojit (do Internetu se noťas dostává až skrze firemní proxiny, ať je fyzicky připojen kdekoliv). Takže i když je člověk někde v hotelu, kde je takováto blbost a ne 802.1x, tak se jede přes 3G kartu v noťasu, protože to ani jinak nejde...
-
Ondřej Novák (neregistrovaný)
No nevím, ale chtěl jsem si na domáci wifině udělat captive portál pro přespolní. Rád bych své návštěvníky poznal, takže pro ně mám jednoduchý formulářík, kde mi mohou napsat co jsou, odkud pochází a jak dlouho se zdrží. A hlavně bych chtěl, aby oni věděli, že moje síť má nějaká pravidla, třeba kdy mne jejich surfování po mé wifině nebude vadit a kdy na ně budu zlej natolik, že je budu nějakým způsobem blokovat, omezovat nebo rovnou někam bonzovat.
Jestli víte o nějakém jiném způsobu, jak tyhle informace zobrazit, tak sem s nimi.
-
brk (neregistrovaný)
Já bych tu technologii nezavrhoval, viz. třeba [17]. Poprvé jsem se s něčím takovým setkal, když jeden ISP provozoval různě po městě několik WiFi hotspotů a tímhle zobrazoval reklamu na své služby. Jak jinak by měl řešit tady tohle?
Nikdo uživatele nenutí danou síť používat. Jestli to tak je v i v případech placené služby, tak by asi bylo vhodnější si stěžovat u provozovatele a ne v blogu.
-
pantaril (neregistrovaný)
Podekujte za tohle copyrightu, kazdy provozovatel freewifi ma (opravneny) strach z toho, ze bude soudne popotahovan za cinost svych uzivatelu. Proto se vam pred pripojenim snazi vnutit stranku, kde se zrika zodpovednosti, pripadne si od vas vyzada e-mail ci dalsi osobni udaje, ktere si ulozi spolu s vasi MAC adresou a akatualni IP adresou do DB.
-
Ondřej Caletka (neregistrovaný)
[17]. Uznávám, že je to problém. Řešením by bylo provozovat dvě sítě, jednu s informační stránkou, která by na požádání (popř. po vyplnění nějakých údajů) vygenerovala přístupové údaje druhé síti s 802.1x. Pak budeš mít jistotu, že každého klienta znáš a že souhlasil s podmínkami, přitom vracející klienty nebudeš otravovat captive portálem a bude to i výrazně bezpečnější.
-
Dan (neregistrovaný)
Mimochodem uz je na to RFC, ktere by neco malo mohlo resit:
http://tools.ietf.org/html/rfc6585
nicmene jeho implementace bude jeste na dlouhe roky.
-
Tany (neregistrovaný)
[17]
Souhlas .. taky tu mám captive a omezuju neznámé uživatele na 1M/1M .. proč ne, mě to navíc nic nestojí (priority) a alespoň má sdružení reklamu ...[19]
Copyrigth .. a co pravidla sítě, tzn. kdy a za jakých podmínek necháš uživatele zadarmo brouzdat. Právní nesmysly jsou už pak jen klasické klišé, které se dopíše, protože by to tam asi i možná být mohlo.[20]
Ne nebylo, 2,4G je sice pásmo, který vypařuje vodu, ale občas je tu už i problém najít jeden volný kanál, natož dva. -
tuxmartin (neregistrovaný)
Taky nemam rad captive portaly a souhlasim, ze 802.1X s RADIUSem je mnohem lepsi reseni.
Ale pro uzivatele ma take sve nevyhody.
U captive portalu uzivatel otevre prohlizec, poklika nejaky formular a je na Internetu.
Kdyz bude WiFina pouzivat 802.1X, tak bude uzivatel pul hodiny nastavovat, nez se dostane na Internet. Viz treba zminovany Eduroam - sice ma na webu podrobny navod http://eduroam.cz/doku.php?id=cs:uzivatel:sw:win:seven s nastavenim, ale z vlastni zkusenosti vim, ze hodne lidi (na vysoke skole!) ma i tak problem si nastavit na notebooku pripojeni...
Navic u 802.1X jsem dodnes neprisel na zpusob, jak uzivateli zobrazit navod na nastaveni. Nakonec jsem vzdy skoncil u 2 WiFi siti (2 karty nebo 1 karta a virtual AP), kde jedna byla bez hesla a jako captive portal zobrazovala navod na pripojeni a na druhe bylo nasazene 802.1X.U bepzlatnych WiFi neni co resit, tam bych captive portal nikdy nedaval. Radeji kazdy den menit heslo.
U placenych WiFi, treba v hotelu uz je to horsi. Uz vidim bezneho uzivatele jak bude nastavovat notebook podle podobneho navodu http://eduroam.cz/doku.php?id=cs:uzivatel:sw:win:seven :-/
To je opravdu nerealne... -
tuxmartin (neregistrovaný)
>>U captive portálu stačí jednoduše na síti odposlechnout heslo nebo rovnou MAC >>adresu a jste uvnitř. Technicky je to hra na pár minut. Na WPA2 Enterprise není >>takový postup možný, protože celá komunikace je šifrovaná a bez znalosti klíčů se >>za někoho jiného vydávat nemůžete.
To taky neni tak docela pravda ;-)
http://www.root.cz/clanky/rozdel-a-panuj-hrubou-silou-na-ms-chapv2-klice/
"Firmy, které pro autentizaci WPA2 Radius používají MS-CHAPv2, by měly okamžitě přejít na něco jiného." -
stilett (neregistrovaný)
Bohužel musím se spoustou věcí v zápisku nesouhlasit. Něco už tady zaznělo.
V první řadě je chybou předpokládat, že jediným důvodem pro captive portal je přihlášení.Captive portal mohu mít obvykle pro:
* zobrazení obchodního nebo jiného sdělení (za to, že provozuji hotspot na veřejném místě, se chci uživatelům prezentovat),
* vyžádání souhlasu s podmínkami hotspotu,
* (nepovinné) přihlášení s možností registrace.
S výše uvedeným mi WPA2 Enterprise nepomůže. Když přijde neznámý člověk, tak nemá přihlašovací údaje. Já mu nemohu sdělit instrukce, kde je získat, nebo se zaregistrovat.
Jinak, co se týče Eduroamu, tak si dobře vzpomínám na komplikace s jeho používáním na Masarykově univerzitě. Nastavení ve Windows vyžadovalo buď mít stažený konfigurátor (= musím si nejprve opatřit jiné připojení, abych ho stáhl), nebo se řídit krutým (i pro síťaře) návodem pro ruční nastavení (viz http://eduroam.muni.cz/doku.php?id=navod-w7). Mimochodem v Linuxu to je mnohem jednodušší.
Pro řešení výše uvedených požadavků bohužel neznám lepší řešení než captive portal.
-
David (neregistrovaný)
Vzdyt to v Androidu funguje naprosto perfektne, alespon na mem telefonu s Androidem 4.0.4! Pokud se pripoji na WiFi, zkusi se telefon sam dobouchat na bnejaky server Google a kdyz se nevrati odpoved, vyskoci v notifikacni liste oznameni, ze pripojeni k webu se nezdarilo a mam se pripojit rucne (nebo tak nejak), po kliknuti na nej se otevre browser a ja se pripojim, nebo zadam informace pozadovane pri prihlaseni.
-
jxjl (neregistrovaný)
Naprosto stejná zhovadilost se bohužel vyskytuje i ve wifi síti brněnskéno VUT. Největší potíž je v tom, že mnohdy nelze ani úvodní logovací stránku načíst. Navíc je to ještě tak zprasené, že lidé, co mají u nás iPhone se k síti nepřipojí vůbec. Pokud by někdo měl kostru nějakého scriptu, který by umožnil automatické logování do takovéto sítě, sem s ní, rád si upravím.
-
MilanK (neregistrovaný)
Také to nevidím jako zásadní problém, hlavně teď, když jsem povýšil na Android ICS ;-)
Horší je, že občas jsou omezené porty, takže - jak už tu někdo zmiňoval - VPN do firemní sítě se nekoná... (Bylo to prima překvapení, když hotel ve Švýcarsku potvrdil přístup na internet přes předplacené karty Swisscomu a nakonec jsme mohli nechat počítače v taškách.)
-
tuxmartin (neregistrovaný)
[31] http://curl.haxx.se/
[32] OpenVPN na TCP 443 a zatim jsem nikde nenarazil :-)
-
Dreit (neregistrovaný)
Pche, tak dneska jsem byl na Sněžce, dvě wifi sítě, jedna s přídomkem "free". Po připojení následovalo vypnutí domácího proxy serveru v Androidu 2.3, otevření Dolphina a konečně úžasná stránka s textem ve smyslu "už. jméno: free, heslo: free, bude to fungovat 30 minut, pak znova". Za to bych fakt zabíjel.
Na druhou stranu znám město, kde je "free" internet fungující stylem:
download: 64Kb/s
týdenní limit: 100MB (potom neprojde ani bit)
Samozřejmě po registraci a přihlášení :/ -
AnthonyX (neregistrovaný)
Provozuji 3 hotspoty s free (zdarma, bez registrace, z filantropismu) internetem. Pokud se někomu captcha nelíbí, ať se nepřipojuje. Už si někdo z vás dovolil nesouhlasit se "všeobecnýma podmínkama" ojkra, fejzbúku, provozovatelů mobilních sítí... Pošlou vás do (_._) ...A to si ještě nechají sprostě platit...
-
RDa (neregistrovaný)
Nejvetsi problem podobnyho razu jsem zazil na OMV v Rakousku. Pro prihlaseni na pry FREE WIFI to chtelo registraci - kde se zadal email. A pak na nej poslali aktivacni link - ktery si ale bez pripojeni nemuzete odkliknout takze se neprihlasite. A kdyz jsme dojeli domu, tak si rikam ze to zaktivuji - a ono ani h... napsalo to ze nejsem na spravne lokaci (rozumej te wifi siti)... fakt paradni reseni, nebyt unaven ze 14h cesty, tak bych byl hodne neprijemnej na obsluhu cerpacky.
-
M.V. (neregistrovaný)
[31] Nevím, také navštěvuji VUT a připojím se v pohodě s NB, Androidem i kolegové s iPhone. Druhá věc je ta, že lidi buď jsou sítěmi nepolíbení a nebo jsou APčka v posluchárnách tak přetížená, že to prostě nejede. Já osobně na VUT nepoužívám captive portál k ničemu jinýmu, než abych se připojil do Eduroamu, protože odpadá to trapné zadávání hesla každý připojení
Nicméně, captive portály jsou v pohodě právě na reklamu a různé copyrights. Ovšem musím souhlasit, že to co předvedlo Student Agency nebo Mc'Donalds, to jsem taky nepochopil. U SA mi to připadá jen jako reklama na to, jak jsou dobří, že jim internet jede. Captive portály ano, ale jen tam, kde to má OPRAVDU smysl ;)
-
LuKo (neregistrovaný)
Jen malinká poznámka na okraj - technický správce hotspotu(ů) často nerozhoduje o tom, zda bude použit captive portál, jakým způsobem bude přihlašování probíhat (odklepnutí reklamy, vyplnění formuláře, registrace atd.) a co na něm bude zobrazeno (prostý formulář, zřeknutí se odpovědnosti, reklama, jídelní lístek atd.)
-
skrat (neregistrovaný)
To co ty vnimas ako nevyhody, su pre inych vyhody. Pre uzivatela je daleko jednoduchsie pouzivat prehliadac na pristup do siete ako sa preberat nastaveniami siete a ich bezpecnostnymi prvkami. Dobry clanok ponuka pohlady z viacerych uhlov a necha citatela si vytvorit vlastny nazor. To ale tvoj pripad nieje, pracuj na sebe.
-
skrat (neregistrovaný)
[43] to je v poriadku, ale vacsina tych portalov vyzaduje iny sposob ako meno/heslo, a predovsetkym platbu (zadarmo nieje a nemalo by byt nic, balans), cize SMS, credit/debt card apod., pripadne nejake cislo z cestovneho listku, cokolvek. tieto mechanizmy nema cenu standardizovat, kazdy ma ine poziadavky a hladat nejaky prienik (meno/heslo) je marna neproduktivna snaha.
-
mn (neregistrovaný)
[25] na FITu v Brne je pro Eduroam sice hezky navod, ale dokud nevyzkousite nekolik kombinaci autentizacnich udaju (login na IS fakulty, login na IS skoly, pin, nechat si znovu vygenerovat heslo a zkusit znovu, ...) tak se tam nedostanete (v navodu to je/bylo samozrejme spatne), takze ikdyz jste normalni uzivatel schopny postupovat podle navodu, neuspejete.
ČLÁNKY DO MAILU