Tuki 24/7
UKK
 Kojelauta
Tilin saldo:    
Luottamus pettää: Miksi web-turva vaatii tarkistettavaa koodia

Luottamus pettää: Miksi web-turva vaatii tarkistettavaa koodia

Tou 05, 2026 web-security javascript end-to-end-encryption cryptography web-standards secure-coding infrastructure-security

Kun luottamus pettää: Miksi verkkosuojaus vaatii tarkistettavaa koodia

Nykyinen verkkosuojaus piilottaa ison ongelman, joka vaivaa kehittäjiä öisin.

Käytät Signal- tai ProtonMail-sovellusta, koska luotat viestiesi yksityisyyteen. End-to-end-salaus estää jopa palvelimen operaattorit kurkista. Todellisuus on toinen: salauksen luotettavuus riippuu JavaScript-koodista selaimessasi. Ja tuo koodi tulee palvelimelta, johon sinun täytyy uskoa.

Jos palvelin kaatuu hakkereille, taipuu viranomaisten paineeseen tai sisäinen ihminen lisaa pahaa koodia, hyökkääjä voi vuotaa salausavaimesi. Parasta hyökkääjälle? Et huomaa mitään.

Luottamusmalli, joka ei kestä tätä

Perinteinen verkkosuojaus nojaa "palvelin-on-vallanpitäjä" -ajatteluun. Selain hakee koodin domainilta, suorittaa sen suojatussa hiekkalaatikossa ja olettaa kaiken olevan kunnossa. Tämä sopii peruskäyttöön, mutta pettää arkojen tietojen kanssa.

Ajattele näitä:

  • Pankkisovellukset tilisi hallintaan
  • Terveysalustat potilastietoineen
  • Salausviestit journalisteille ja aktivisteille
  • Salasanahallinta arkoine tunnuksineen

Kaikki ovat alttiita samalle iskulle: palvelin muokkaa koodia juuri sinulle. Hyökkäys jää piiloon tutkijoilta, auditoijilta ja kehittäjiltäkin. End-to-end-salaus muuttuu arvottomaksi, jos koodi itse on heikkous.

Ongelma on näkymättömyys. Palvelin voi kohdentaa muutokset tarkasti.

Ratkaisu: Salaukselliset sitoumukset ja julkinen tarkastus

Entä jos palvelimen huijaaminen ei voisi jäädä salaisuudeksi?

Tarvitsemme koodin eheys- ja läpinäkyvyysmekanismeja. Web-sovellus voisi:

  1. Sitoutua kryptografisesti client-puolen koodin julkiseen manifestiin
  2. Kirjata manifestin pysyvään, avoimeen lokiin
  3. Pakottaa tarkistuksen selaimessa – hylätä koodin, jos se ei täsmää lokiin

Muutokset paljastuisivat heti:

  • Selain torjuisi ne
  • Loki jäisi tutkittavaksi
  • Vastuullinen palvelin ja aika selviäisivät

Ei enää teoriaa. Web Application Integrity, Consistency and Transparency (WAICT) tuo tämän avoimelle webille.

WAICT muuttaa pelin

WAICT tuo kaksi avainpiirrettä verkkosuojaukseen:

Eheys: Selaimessa pyörivä koodi vastaa todistetusti kehittäjän manifestia. Ei yllätysmuutoksia tai kohdennettuja iskuja.

Läpinäkyvyys: Sitoumukset kirjautuvat julkiseen lokiin. Tutkijat, journalistit, compliance-tiimit ja viranomaiset tarkastavat ne vapaasti. Huijaukset näkyvät.

Kun sivusto ottaa WAICT:n käyttöön, selain aktivoituu suojaksi. Ilman lokikirjausta koodi hylätään. Hyökkääjä menettää näkymättömyytensä.

Arkoille sovelluksille tämä on mullistus. Salausviestisovellus voi luvata: "Koodimme on julkisessa lokissa, tarkistettavissa, ja selain torjuu muutokset."

Yhteistyötä ja testejä kentällä

WAICT ei ole yhden firman juttu. Mozilla, Cloudflare, Meta, Freedom of the Press Foundation ja muut kehittävät sitä yhdessä. Speksit ovat avoimia, kehitys läpinäkyvää, palaute tervetullutta.

Firefox Nightly sisältää jo prototyyppejä. waict.dev-sivustolla testaat end-to-end-salauksen videopuheluissa WAICT-suojalla.

Mitä tämä tarkoittaa sovelluksillesi

Jos rakennat arkojen tietojen käsittelyyn, WAICT vahvistaa turvaasi. Et pyydä sokeaa luottamusta palvelimeen – annat kryptotodisteen koodin oikeellisuudesta.

Kehittäjille se tarkoittaa:

  • Manifestien lisäystä deploy-putkeen
  • Valinnaisen pakottamisen kriittisiin osiin
  • Automaattista julkista auditointia
  • Todellista läpinäkyvyyttä käyttäjille

Käyttäjille hyöty on selvä: tarkistettava suoja on perusodotus, ei mainoslupaus.

Laajempi merkitys: Luottamus läpinäkyvyydellä

WAICT on enemmän kuin speksi – se on visio avoimesta webistä. Tietomurrot ja palvelinhyökkäykset ovat arkipäivää. Web kehittyy tekemään huijauksista havaittavia ja kalliita.

Ei tarvitse luottaa yhteen tahoon. Turva syntyy kryptotodisteista ja julkisesta vastuusta.

Protot ovat käynnissä. Yhteistyö pelaa. Speksit avoimia. Nyt ekosysteemin on otettava nämä tavaksi.

Arkojen tietojen sovelluksille muutos ei voi tulla nopeammin.

Haluatko syventyä WAICT:hen? Katso avointa speksidumpia ja testaa prototyyppiä Firefox Nightlyssä. Domainin omistajana tai hosting-tarjoajana seuraa näitä uusia standardeja – käyttäjäsi suoja on kiinni niistä.

Read in other languages:

RU BG EL CS UZ TR SV RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN