Ikona kłódki to jedna z tych ikon, do których internauci przyzwyczaili się ze względu na długie lata spoglądania – mimowolnego lub celowego. Jak poinformował sam Google, stanowiła nieodłączny element przeglądarek internetowych od lat 90. Nagle jednak firma ogłosiła, że wraz z nadejściem września 2023 roku era kłódki widocznej w pasku przeglądarki Chrome dobiegnie końca. Skąd ta decyzja i jaki miała cel? Wbrew pozorom chodziło o… bezpieczeństwo użytkowników! Jak bowiem wykazały badania przeprowadzone przez Google w 2021 roku, zaledwie 11% badanych rozumiało, co dokładnie oznaczała kłódka. Reszta, cóż, pozostawała w mylnym poczuciu bezpieczeństwa.
Co oznaczała ikona kłódki w pasku przeglądarki Chrome?
Jeżeli znajdujesz się w owych 11% szczęśliwców rozumiejących, co oznaczała ikona kłódki w pasku przeglądarki – tuż obok adresu www wyświetlanej strony internetowej – możesz od razu przeskoczyć do jednego z kolejnych punktów. Jeśli jednak nie wiesz lub przynajmniej nie jesteś pewien, poświęć chwilę i przeczytaj również ten punkt.
Otóż popularna ikona kłódki oznaczała – a w zasadzie dalej oznacza, gdyż nie usunięto jej zupełnie, tylko schowano – połączenie przez HTTPS. W praktyce jest to połączenie po pierwsze bezpieczne (zabezpieczone przed przechwyceniem), po drugie prywatne (jednak nie w pełni, ponieważ mogą występować inne formy śledzenia, np. poprzez pliki cookies). Inaczej: dane przesyłane między używaną przeglądarką, np. Chrome, a serwerem strony zostają zabezpieczone i zaszyfrowane. Protokół HTTPS gwarantują strony posiadające certyfikat SSL/TLS i wyłącznie one.
Bezpieczne połączenie (ikona kłódki) a bezpieczna strona
Protokół HTTPS, certyfikat SSL/TLS i ikona kłódki to trzy ściśle powiązane i współwystępujące elementy wskazujące na bezpieczne połączenie. Nie stronę, tylko połączenie. I właśnie z tym szczegółem wiąże się całe zamieszanie – ową pozornie drobną, ale szalenie istotną różnicę rozumiało bardzo mało osób (przypomnę: zaledwie 11% przebadanych). Dlaczego ta różnica ma znaczenie?
- Ikona kłódki to znak, że połączenie zostało zabezpieczone – dane przesyłane przez użytkownika są szyfrowane. I tyle.
- Ikona kłódki nie mówi absolutnie niczego o tym, czy dana strona internetowa jest bezpieczna – przykładowo: czy jest wiarygodna, czy zaprezentowane na niej informacje są zgodne z prawdą, a tym bardziej rzetelne, czy jej właściciel ma dobre intencje, czy raczej będzie chciał oszukać użytkowników, np. sprzedać im produkty, które nie istnieją i nigdy nie zostaną wysłane.
Dlaczego Google zrezygnował z ikony kłódki w Chromie?
Decyzja usunięcia kłódki z przeglądarki Chrome wynikała głównie z niezrozumienia przez internautów różnicy opisanej w poprzednim punkcie. Ikona przestała być wystarczająca i utrzymywała użytkowników sieci w błędnym przekonaniu, że wyświetlane przez nich strony są zweryfikowane i wiarygodne, wobec czego korzystanie z nich nie może przynieść żadnych negatywnych skutków. Tymczasem to nieprawda – każdego roku zwiększa się paleta sposobów, w jakie hakerzy mogą podejść nieświadomych internautów.
Usunięcie kłódki miało zatem nauczyć ludzi, aby przestali opierać się na ikonie w pasku przeglądarki, a zaczęli być czujni i zwracali uwagę na znacznie więcej aspektów niż posiadanie bądź nieposiadanie przez daną witrynę certyfikatu SSL/TLS. Trzeba bowiem pamiętać, że zarówno strona bez SSL-a może być wiarygodna (np. uczciwy i rzetelny sklep internetowy, który nie dopilnował terminu przedłużenia certyfikatu, więc na moment go stracił), jak i strona z SSL-em może być niewiarygodna (np. wspomniany już sklep-widmo, który sprzedaje nieistniejące produkty, a także witryna zawierająca pliki do pobrania z wirusem).
Czy rezygnacja z ikony kłódki w Chromie oznacza rezygnację z protokołu HTTPS?
Obecnie certyfikat SSL/TLS to standard. Jak poinformował Google, ponad 95% witryn przeglądanych za pomocą przeglądarki Chrome na Windowsie gwarantuje bezpieczne połączenie. Przyczynił się do tego sam Chrome, który w ostatnich dziesięciu latach – co najmniej – prężnie uczestniczył w zwiększaniu funkcjonalności protokołu HTTPS i szerzej: akcji poprawiania bezpieczeństwa korzystania z sieci.
Fakt ów stanowi kolejny powód, dla którego Google zrezygnował z ikony kłódki: skoro SSL/TLS stał się normą, nie trzeba było dłużej wyświetlać jego symbolu w pasku przeglądarki. Jednakże rezygnacja ikony kłódki w żadnej sposób nie oznacza rezygnacji z SSL-a, a tym bardziej z wypracowanego już poziomu bezpieczeństwa.
Co zamiast ikony kłódki w Chromie?
We wrześniu 2023 roku, wraz z wprowadzeniem wersji 117 przeglądarki Chrome, kłódka ustąpiła miejsca ikonie tune przedstawiającej dwa paski do regulacji parametrów (suwaki). Z założenia jest to ikona neutralna w kontekście bezpieczeństwa, czyli nieprzekazująca informacji, czy strona wyświetlana przez użytkowników jest bezpieczna. Warto jednak zauważyć, iż obecność tune – podobnie do obecności kłódki – stanowi potwierdzenie bezpiecznego połączenia na stronie. Jeżeli bowiem użytkownik wejdzie na witrynę niemającą SSL-a, zamiast ikony tune zobaczy trójkąt z wykrzyknikiem w środku i jednoznaczny komunikat: „Niezabezpieczona”.
Ikona tune ma zwiększać świadomość internautów w zakresie bezpiecznego korzystania z sieci poprzez zachęcanie do sprawdzania i samodzielnego regulowania ustawień dostępnych dla każdej witryny z osobna.
Jak używać ikony tune w Chromie?
Ikona tune kryje w sobie rozbudowane centrum kontroli wyświetlanej strony internetowej – każdej z osobna. Kliknięcie jej kursorem podczas korzystania z sieci na desktopie bądź stuknięcie w przypadku używania smartfona powoduje rozwinięcie menu kontekstowego zawierającego różnego rodzaju informacje o danej witrynie. Można w nim zweryfikować – i w zależności od opcji także zmodyfikować – informacje o bezpiecznym połączeniu (ikona kłódki), informacje o plikach cookies i danych witryny (ikona ugryzionego ciastka), ustawienia witryn (ikona koła zębatego charakterystyczna dla ustawień), informacje o stronie (ikona okręgu z wpisaną literą i).
Informacje o bezpiecznym połączeniu – wybierając pierwszą opcję, można po pierwsze zdobyć cenną wiedzę, czym w ogóle jest bezpieczne połączenie (kliknięcie przenosi do artykułu w Centrum pomocy Google), po drugie zaś zweryfikować szczegółowe dane na temat certyfikatu SSL/TLS danej witryny. W ogólnych informacjach można znaleźć m.in. dane właściciela strony (o ile były potrzebne do wystawienia konkretnego certyfikatu), dane organizacji wystawiającej certyfikat (np. nazwę: Let’s Encrypt, Google Trust Services, inne), okres ważności, odciski cyfrowe.
Informacje o plikach cookies i danych witryny – kiedy internauta odwiedza daną stronę internetową, owa strona zbiera o nim różne informacje, m.in. w celu dostosowania parametrów (np. języka) do preferencji użytkownika oraz świadczenia dopasowanych do niego usług (np. wyświetlania interesujących go produktów w sklepie internetowym). Część danych zapisuje na urządzeniu użytkownika. Jednakże internauta może nie chcieć, aby witryna trzymała jego dane. Aby je usunąć, powinien wybrać Zarządzaj danymi witryn na urządzeniu i kliknąć ikonę kosza na śmieci.
Przykład FunkyMedia:
Przykład Google’a:
Ustawienia witryn – jest to najbardziej rozbudowana opcja w centrum kontroli. Można w niej usunąć pliki cookies i dane witryny zebrane przez daną stronę (podobnie jak w opcji powyżej), ale nie tylko. To właśnie tutaj dostępna jest długa lista preferencji użytkownika wobec korzystania z danej strony. Zarządza się dostępem do lokalizacji, kamery czy mikrofonu, preferencjami związanymi z otrzymywaniem powiadomień i pop-upów oraz pobieraniem plików, wyświetlaniem treści JavaScript i grafiki, odtwarzaniem dźwięku. Przykładowo: jeżeli kiedykolwiek przez pomyłkę kliknęło się Zezwalaj, kiedy przy pasku przeglądania pojawił się komunikat z prośbą o pokazywanie powiadomień z danej strony, to właśnie w Ustawieniach witryn można cofnąć nieopatrzną zgodę.
Przykład zmiany ustawień powiadomień:
Informacje o stronie – ostatnim elementem centrum kontroli wyświetlanej strony są informacje o niej. Po wybraniu tej opcji po prawej stronie wzdłuż paska przewijania ukazuje się okno z informacjami. Zdecydowanie warto tu zaglądać, zwłaszcza kiedy chce się skorzystać z witryny – np. sklepu internetowego – na której wcześniej się nie było i której się nie zna. Informacje o źródle mogą obejmować odpowiedzi na pytania, czym w ogóle jest strona i jakie inne witryny potwierdzają jej wiarygodność. W przypadku FunkyMedia mowa o stronie należącej do firmy założonej przez Rafała Cyrańskiego, której wiarygodność można sprawdzić na GoldenLine, ALEO, Jestpraca, Money i w wielu innych serwisach; strona została zaindeksowana przez Google’a po raz pierwszy ponad 10 lat temu.
Czy zmiana kłódki na tune w przeglądarce Chrome wyszła na dobre?
I tak minął rok od dnia, w którym zapewniająca złudne poczucie bezpieczeństwa kłódka została zastąpiona ikoną tune, aby skłonić internautów do zainteresowania się bezpieczeństwem w sieci. Czy ambitny plan firmy Google się powiódł? Czy dzięki zmianie symbolu w pasku przeglądarki internauci zaczęli rozumieć, że kłódka to nie wszystko, a bezpieczeństwo w internecie wymaga znacznie większej uważności?
Trudno powiedzieć. Póki co nie ma danych dotyczących potencjalnego wzrostu świadomości bezpiecznego korzystania z sieci dzięki zmianie ikony. Osobiście jestem nieco sceptyczna, bo nie wydaje mi się, aby internauci zaglądali do centrum kontroli skrytego pod ikoną tune. Ba! jestem przekonana, iż nawet nie wiedzą, co mogą w tym miejscu zrobić.
Sądzę, że zmiana kłódki na tune powinna iść w parze z szerzej zakrojoną akcją zwiększania świadomości na temat cyberbezpieczeństwa. Może gdyby użytkownicy Chrome’a byli zmuszeni do przeczytania i zaakceptowania, tuż po zaktualizowaniu wersji do posiadającej ikonę tune, krótkiej informacji przed dalszym korzystaniem z przeglądarki, zrozumieliby, po co była ta cała zmiana. Tymczasem obecnie istnieją ludzie, którzy zmiany w ogóle nie zauważyli. Zakładam, iż jest to wręcz większość z owych 89% niemających pojęcia, co oznacza kłódka. Są również tacy ludzie, których zmiana nie tylko niczego nie nauczyła, ale także zdezorientowała i zaniepokoiła.