Tíz év webbiztonság: mit tanultunk, és min bukunk még mindig?

Tíz év webbiztonság: mit tanultunk, és min bukunk még mindig?

Júl 04, 2026 web-security ssl-certificates https security-headers dns-security

Tíz év webbiztonság: Mit tanultunk, és hol bukunk el még mindig

A 2016-os internet szinte őskövületnek tűnik. Az Instagram épp indította a Stories funkciót. A Pokémon Go tarolta le a világot. És ha valaki HTTPS-t használt a weboldalához, egy szűk kisebbséghez tartozott – olyanok közé, akiket sokan paranoia miatt vagy pazarlásért lenéztek.

Tíz év távlatából annyira megváltozott a kép, hogy ma már nem az a kérdés, "kell-e HTTPS?", hanem az, hogy "miért ne?". De a fejlődéssel az a helyzet: soha nem áll meg.

A számok, amelyek mindent elmondanak

Ha megnézzük a legnagyobb weboldalak helyzetét az elmúlt tíz évben, az adatok tényleg biztatók:

  • HTTPS elterjedése: A top oldalak nagyjából 6%-áról 65% fölé emelkedett 2015 és 2026 között
  • HSTS fejlécek: 22-szeres növekedés, 11 000-ről 252 000 oldalra
  • Content Security Policy (CSP): Megdöbbentő 125-szörös growth, 1 365-ról 170 000-re

Ezek nem csak a hasznos statisztikák. Amikor a Chrome 2017-ben "Nem biztonságos"-nak kezdte jelölni a nem HTTPS-es oldalakat, az egész web közösség pánikba esett. De ez a nyomás működött. Ma már az a furcsa, ha valaki HTTPS nélkül üzemeltet egy oldalt – főleg a ranglétra tetején, ahol a forgalom és a hírnév a legfontosabb.

A jó hír: Az alapvető biztonság ma már tényleg alapvető

A tíz év adatainak igazán pozitív hozadéka, hogy az alapkövetelmények gyökeresen megváltoztak. Tíz éve a biztonsági fejlécek, mint az X-Content-Type-Options és az X-Frame-Options a top oldalak kevesebb mint 5%-ánál voltak jelen. Ma ez a szám 30-35% körül mozog.

Ez azért fontos, mert ezek nem látványos funkciók. Nem ír róluk senki izgalmas blogposztokat. A webbiztonság vízvezeték-rendszerei ezek – az unalmas dolgok, amelyek megakadályozzák a clickjackinget, a MIME-type sniffing támadásokat és hasonló csúfságokat. Az, hogy ezek ma már alapértelmezett gyakorlattá váltak, jól mutatja, mennyit fejlődött az iparág: a biztonság most már infrastruktúra, nem opcionális extra.

A CSP külön említést érdemel. Nézni, ahogy 1 365 oldalról 170 000 fölé nőtt, olyan érzés volt, mint egy startupot figyelni, ami a garázstól az iparági standardig jutott el. A CSP tényleg nehéz helyesen implementálni – meg kell érteni az oldal tartalomforrásait, a külső scripteket, az inline kódmintákat, és még sok mást. Az, hogy ennyi csapat vette a fáradságot és jól csinálta, azt mutatja, hogy az iparág érettebb lett a "védekezés rétegekben" megközelítésben.

A rossz hír: Lelassultunk (és néha vissza is esünk)

Itt kezd bonyolódni az optimizmus. Ha megnézed a HTTPS elterjedésének görbéjét az elmúlt években, a növekedés jelentősen laposodott. Elértük a "könnyű" célokat – azokat az oldalakat, amelyek könnyen átállhattak, a blogokat, amelyek a Let's Encryptet használták, az üzleti szereplőket, akik megértették a kockázatát annak, hogy bizonytalan minősítést kapjanak.

Ami maradt, az a makacs esetek halmaza. Legacy alkalmazások, amelyek jelentős átírás igényelnének. Belső eszközök, amelyet senki sem akar megpiszkálni. Oldalak olyan szervezeteknél, ahol a biztonság még mindig "majd valaki más megcsinálja" kategória. Ez nem bírálata a web fejlődésének – egyszerűen az a realitás, hogy bármely elterjedési görbe utolsó 10%-a mindig a legnehezebb.

Még aggasztóbb bizonyos védelmek felemelkedése és bukása. Az Extended Validation (EV) tanúsítványok, amelyeket egyszer a bizalom arany standardjaként adtak el (emlékszel a zöld sávra a böngészőben?), gyakorlatilag összeomlottak. A böngészőgyártók eltávolították azt a megkülönböztető felületet, ami a felhasználók számára láthatóvá tette az EV tanúsítványokat, és ennek hiányában nem volt üzleti indok a prémium árak fizetésére. A csúcs 15 600-ról 4 000 alá esett 2026-ra. Ez egy érdekes esettanulmány arról, hogyan formálja a felhasználói élmény a biztonság gazdaságát.

Az új srácok: Biztonság 2026-ban és tovább

A legérdekesebb adatok a legutóbbi vizsgálatokból nem a régi standardokról szólnak – hanem arról, mi következik.

A poszt-kvantum kriptográfia kezd megjelenni a valóságban. Még nem elterjedt, de az első óvatos implementációkat látjuk, ahogy az iparág készül egy olyan jövőre, ahol a kvantumszámítógépek feltörhetik a jelenlegi titkosításokat. Ez az a terület, ahol a biztonsági világ a legjobban teljesít: felkészül a fenyegetésekre, mielőtt azok valósággá válnának.

A cross-origin izoláció, az ECH (Encrypted Client Hello) és más adatvédelmi technológiák szintén a korai bevezetési fázisban vannak. Ezek egy olyan web építőkövei, amely ellenállóbb a megfigyeléssel és manipulációval szemben.

A sütik biztonsága is újra reflektorfénybe került. Ahogy a third-party cookie-kat végre elkezdték kivezetni a böngészőkből (évek késés után), a first-party sütihigiénia fontosabb lett, mint valaha. A Secure, SameSite-aware sütik öt éve sok fejlesztőnek nem volt prioritás. Ma már alapkövetelmény.

Mit jelent ez a projektjeidnek?

Ha ma indítasz egy új oldalt vagy alkalmazást, a tíz év tapasztalata egyértelmű üzenet: a biztonságot tekintsd alapvető infrastruktúrának, ne utólagos gondolatnak. A HTTPS nem opcionális. A biztonsági fejlécek nem opcionálisak. Az eszközök érettebbé váltak, a költségek csökkentek, és a kihagyásuk következményei megnőttek.

De ne állj meg itt. A webbiztonság frontvonala elmozdult. Figyelj oda:

  • Poszt-kvantum felkészültség: Kezdj gondolkodni azon, hogyan kell majd fejlődnie az infrastruktúrádnak
  • Süti migráció: Vizsgáld át a sütihasználatodat, mielőtt a third-party korlátozások élesednek
  • Adatvédelmi alternatívák: Az ECH és hasonló technológiák hamarosan minden böngészőben megjelennek

A 2026-os web összehasonlíthatatlanul biztonságosabb, mint a 2016-os volt. De a biztonság nem célállomás – folyamatos párbeszéd a védekezők és támadók, a szabványosító testületek és böngészőgyártók, a fejlesztők és felhasználók között. Az, hogy még mindig folytatjuk ezt a beszélgetést, még mindig mérjük az eredményeket, még mindig fejlesztjük a védelmünket – ez a valódi győzelem az elmúlt évtizedből.

A következő tíz évre – egy fejléc, egy tanúsítvány és egy jól beállított szerver után a másik után.


Segítségre van szükséged, hogy a biztonsági alapjaid rendben legyenek? A NameOcean ingyenes SSL tanúsítványokat, automatizált DNS kezelést és a modern biztonsági standardokhoz beállított hosting környezetet kínál. Mert a legjobb idő a weboldalad biztosítására tíz évvel ezelőtt volt. A második legjobb időpont pedig most.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL IT FR ES DE DA ZH-HANS EN