Hlavní navigace

Přístupnost bezpečnosti webových aplikací

7. 4. 2011 22:37 (aktualizováno) | Petr Závodský

Před nedávným časem jsem se svým nevidomým kamarádem Redkem Seifertem letmo diskutoval, jak na tom vlastně ti nevidomí s bezpečností na Internetu jsou. A tak Radek na moji prosbu uspořádal ve středisku TEREZA – centru podpory samostatného studia zrakově postižených při Katedře matematiky FJFI ČVUT, v němž Radek vede pracovní tým, tematickou besedu u kulatého stolu s lidmi, kteří k tomu chtěli co říci.

Ještě před tím, než se beseda uskutečnila, si se mnou naplánoval schůzku nevidomý poslanec za ČSSD pan Michal Rada, jenž se mj. zabývá přístupností a bezpečností českého e-governmentu. Prostě se o nadhozeném tématu dozvěděl a další postupy ho minimálně zajímají. Nu, uvidíme, zda se něco pohne i „tímto“ směrem.

Obě skupiny – beseda v TEREZE i pracovní skupina pana Rady – mi poskytly alespoň skromný pohled do problematiky bezpečnosti zrakově handicapovaných. A to nejen v souvislosti s webem.

Bezpečnost zrakově handicapovaných při používání webů … nic moc, žádná sláva. Dříve jsem si myslel, že Internet lidem s handicapem usnadňuje život. Jenže to jsem si jen myslel. Ale jen do té doby, než mě na pravou míru uvedly příspěvky diskutujících. Ono tomu je mnohdy právě naopak.

Vezměme si třeba donekonečna omílanou přístupnost kódu CAPTCHA. Mnozí si řeknou, že zrakově postižným vždy pomůže tzv. zvukový CAPTCHA kód. Někdy možná ano. Když je správně a vhodně implementován. Ale zamysleme se nad tím, jaké trable může nevidomému způsobit prachobyčejné číslo 100 000. Když převádím internetovým bankovnictvím 100 000 Kč, převádím sto tisíc Kč. Jenže screan reader prostě tu mezeru mezi 100 a 000 nemusí „vidět“ tak, jak je žádoucí. Poměrně zásadní trable mohou nastat, když se nevidomý splete a nemůže si řádně zkontrolovat, zda náhodou namísto 100 Kč neposílá 100 000 Kč.

A tak se řada zrakově postižených v některých ohledech Internetu bojí. Ale buďme opatrní s vytvářením hrůzostrašných scénářů. Lidé, kteří nevidí, potřebují svému okolí důvěřovat – ne se svého okolí bát.

Co s tím? Vznikl letmý návrh projektu. Projektu, jehož cílem bude problematiku přístupnosti bezpečnosti webových aplikací prostudovat a případně zpracovat doporučení pro ty, kteří mohou přístupnost bezpečnosti webových aplikací nějak ovlivnit. Diskutoval jsem se zástupci OWASP Global Project Committee. Shodli jsme se na tom, že s přístupností bezpečnosti na webech nemusí mít problémy jen hendikepovaní (hendikepovaní ve smyslu lidového chápání – většinou ve smyslu tělesného postižení), ale také lidé „nehendikepovaní“. … a ono při hlubším popisu bychom stejně dospěli k naprostému zrelativnění pojmu „handicapované/á/ý/“.

Takže jsem projekt přepracoval. Obecně „Přístupnost bezpečnosti webových aplikací“. Tedy „Web Application Security Accessibility“.

Další informace jsem umístil na projektové stránce: OWASP Web Application Security Accessibility Project

Tam to je anglicky. Takže česky:

Návrh OWASP projektu

Návrh OWASP projektu Web Application Security Accesibility, který se věnuje bezbariérovosti bezpečnosti webových aplikací.

WEB APPLICATION SECURITY ACCESSIBLITY PROJECT

Co je bezpečnost?

„Bezpečnost“ má původ v latinském slově securitas (sine cura + tutus), anglicky security – bezstarostnost, jistota, záruka, duševní pokoj, ochrana, zabezpečení, určitost, nespornost.

  1. Objektivní bezpečnost
  2. Subjektivní bezpečnost

Co je bezpečnost webové aplikace?

Z pohledu uživatele webové aplikace je bezpečnost webové aplikace souhrn vztahů, které vytváří ochranu zájmů uživatele webové aplikace – jedná se o faktický stav, jak jsou tyto vztahy chráněny a také přípustná míra nebezpečí.

Co je přístupnost?

Přístupnost je stav, ve kterém určitý objekt použití neklade svému uživateli žádné bariéry. Přístupnost je bezbariérovost.

Co je přístupnost bezpečnosti webových aplikací?

Jedná se o stav, ve kterém je zachován souhrn vztahů vytvářejících ochranu zájmů uživatele bez ohledu na jeho postižení, schopnosti, znalosti, zkušenosti, zobrazovací možnosti.

Příklady nepřístupné bezpečnosti webových aplikací

SCÉNÁŘ 1.

John je nevidomý uživatel internetového bankovnictví. Provádí platbu na jiný účet. Chce odeslat 27 EUR. Omylem zadá tři nuly navíc. Před definitivním odesláním se provede kontrola údajů. Reálně se při kontrole zobrazí 27 000 EUR (27 000 má mezeru mezi 27 a 000), ale Johnův screan reader přečte pouze 27 EUR. Screan reader nuly buď ignoruje anebo je přečte jako nula nula nula. John netuší, že ve skutečnosti neodesílá 27 EUR, ale 27000 EUR.

SCÉNÁŘ 2.

Helen nevidí. V rámci sčítání lidu chce vyplnit online formulář. Po zobrazení webu s formuláři zjistí, že musí nejdříve zadat kód, který jí byl doručen poštovním doručovatelem – kód nevidí. Kód si tedy nechá přečíst někým jiným. Zobrazí se formulář, jenž je ve formátu, který neumožňuje screan readerům obsah přečíst. Helen je zcela odkázána na pomoc svého okolí.

SCÉNÁŘ 3.

José se dorozumí pouze španělsky. Pravidelně sází v online casinu. Někdo se mu pokusil prolomit autentizaci – útočník třikrát chybně zadal heslo a účet se zablokoval. José obdržel e-mailem anglicky psané informace s návodem, jak má postupovat pro odblokování svého účtu. José ale nerozumí anglickému textu a neví, jak má dále postupovat.

SCÉNÁŘ 4.

Anna je němá. Zřídila si elektronickou zdravotní knížku (online). Přístup do elektronické zdravotní knížky jí byl zablokován z bezpečnostních důvodů. Informace na webu ji odkazují na telefonního operátora, který ji s odblokováním účtu má pomoci. Helen však není schopna mluvit, proto je odkázána na cizí pomoc.

Jaké jsou cíle projektu?

Praxe ukazuje, že zdánlivě bezpečná webová aplikace ve skutečnosti chrání zájmy jen některých uživatelů. Zájmy velmi mnoha uživatelů chrání jen částečně anebo vůbec.

Proto jsem se rozhodl věnovat se velmi rozsáhlému tématu přístupnosti bezpečnosti webových aplikací. Toto téma koncipuji jako projekt v rámci celosvětově uznávané organizace a komunity OWASP, kterou si cením pro vysokou odbornost, kladnou společenskou autoritu a pro naplňování svobodného šíření myšlenek v oblasti bezpečnosti webových aplikací.

Během projektu se zaměříme zejména na oblasti:

  1. Studium přístupnosti bezpečnosti webových aplikací
  2. Monitorování situace v přístupnosti bezpečnosti webových aplikací – Uživatelské testování přístupnosti bezpečnosti webových aplikací – Právní zajištění přístupnosti bezpečnosti webových aplikací – Diskuse se zajišťovateli bezpečnosti webových aplikací
  3. Doporučení pro zajištění přístupné bezpečnosti webových aplikací

Držme si palce!

Držme si palce! Náročný projekt. A zajímavý. Jsem však rád, že na to nejsem sám. Děkuji Radkovi Seifertovi, Janu Meszárovi, Tomášovi Bakosovi, Kubovi Tomšejovi, Michalovi Radovi …