Hlavní navigace

Proč nemám rád captive portály aneb internet není jen web

14. 8. 2012 11:13 (aktualizováno) | Petr Krčmář

Captive portály jsou zlo, které vidím čím dál častěji nejen na různých veřejných hot spotech. Jsou s nimi spojeny různé problémy, kvůli kterým je nemám rád.

Na fóru se někdo ptá na tvorbu captive portálu. Nejdřív jsem tam chtěl napsat svůj názor na věc, ale neudělal jsem to. Jednak to toho člověka asi nezajímá a hlavně je to na delší povídání. Takže jsem si ho nechal rovnou do blogu.

Možná pojem „captive portal“ neznáte, ale určitě znáte to, co označuje. Jde o webovou stránku, která se vám objeví jako první po připojení do cizí sítě. Většinou je to k vidění v různých hotelech, na letištích nebo ve firmách. „Vítejte v naší Wi-Fi, pokud ji chcete použít, přihlaste se.“ Někdy není vůbec potřeba přihlášení, prostě jste jen přivítáni a jeden klik vás dělí od připojení k internetu. A právě ten klik je problém.

Reálný příklad

Docela často jezdím autobusem se Student Agency. Jejich hlasitě proklamovaná Wi-Fi ještě nedávno nestála za nic, teď mají nové autobusy, nové modemy, nové routery a chodí to docela pěkně. Začal jsem to tedy občas používat a v mobilu mám tuhle síť přidanou mezi známé. Telefon se do ní tedy sám připojí, pokud ji uvidí.

Stává se mi, že pak v půli cesty zjistím, že mi nechodí pošta, nefunguje Jabber ani Google Talk a jsem bez připojení. Wi-Fi anténka na mobilu s Androidem sice ukazuje plný signál, ale je bílá, což znamená, že spojení s Google servery nefunguje – tedy že nemáme internet.

A tady je právě zakopaný pes. Abyste se doopravdy připojili, musíte spustit prohlížeč a zkusit načíst libovolnou stránku. Objeví se vám captive portál s nějakým uvítáním a obrázkem autobusu, na kterém najdete tlačítko „Připojit k internetu“ (nebo tak nějak). Teprve po kliknutí na něj se anténka v mobilu rozsvítí modře a začne to fungovat.

Tohle se mi stává nejen ve Student Agency, ale na mnoha dalších místech. Sice se síť tváří, že mě připojila, ale reálně končím na Wi-Fi, která chce odklepnout divný dialog nebo zadat jméno a heslo. Nelze to automatizovat, prostě pokaždé musíte ručně udělat operaci s načtením libovolné stránky.

Internet není jen web

Mnoho uživatelů se dnes dostalo do fáze, kdy pro ně internet znamená web. Existuje ale spousta služeb, které po webu nefungují a používají vlastní protokoly. Jabber, SIP, Skype, BitTorrent, Opera Mini, VNC, SSH… a mnoho z nich využívají i běžní uživatelé. I ti se pak diví, proč jim ten Skype netelefonuje, když Wi-Fi ukazuje „tři čárky“. Stejně tak třeba e-mailový klient nebo ICQ.

Potíž je, že captive portál je řešení nestandardizované, takže o něm počítač neví, neupozorní vás na něj a vy se pak můžete zvencnout, proč to nechodí. S příchodem chytrých mobilů a tabletů na to bude narážet čím dál víc lidí. Dnes je moderní mít samostatnou aplikaci na všechno, takže s přístupem „připojím se a pustím si Facebook“ neuspějete, protože vaše oblíbená aplikace prostě fungovat nebude.

Dokonce jsem někde viděl výborné řešení, kdy portál vyhodil malé prohlížečové okýnko s textem „Jestli chcete používat internet, nechejte tohle okno otevřené.“ Na mobilu? Na tabletu? Jak? Tohle už je čirá hrůza, která vás spolehlivě od používání připojení odradí.

Další legrace se odehraje na zařízeních, která nemají webový prohlížeč. Různé herní konzole, multimediální přehrávače nebo čtečky knih se potřebují připojit ke svému serveru někde v internetu, ale captive portál je pro ně nepřekonatelný problém, protože prostě nemají jak zobrazit webovou stránku.

Jde to líp

Rozumnějším řešením je podle mě to celé postavit na druhé síťové vrstvě, pokud už potřebujeme autentizaci v síti. Na tohle existují standardy jako 802.1X a ve spojení s RADIUS serverem to úspěšně používá třeba akademická síť Eduroam, ale i mnoho dalších. S podporou není celkem problém, umí to už dnes prakticky všechny Wi-Fi krabičky pod názvem WPA2 Enterprise.

Zásadní rozdíl v přístupu proti captive je v tom, že se o nutnosti přihlásit počítač dozví od síťového rozhraní (ať už drátového nebo bezdrátového) a sám zajistí odeslání přihlašovacích údajů. Není tedy třeba ručně otevírat nějaký prohlížeč, ale zařízení nás samo vyzve k zadání údajů. Co víc, umí si je i zapamatovat a příště je poslat bez uživatelského zásahu.

Navíc tu ještě vstupuje bezpečnostní otázka, o kterou jde u podobných řešení především (kromě zmíněného Student Agency). U captive portálu stačí jednoduše na síti odposlechnout heslo nebo rovnou MAC adresu a jste uvnitř. Technicky je to hra na pár minut. Na WPA2 Enterprise není takový postup možný, protože celá komunikace je šifrovaná a bez znalosti klíčů se za někoho jiného vydávat nemůžete.

Pokud nemusíte, nepoužívejte prosím captive portály.