Dne 27. dubna vyšel v týdeníku Ekonom dlouhý článek Knížka na odstřel?? dotýkající se jednoho z nejambicióznějších projektů, které byly v České republice v posledních letech zahájeny. Jeho autor, analytik Jan Chaloupka, dochází k přesvědčení, že založit aplikaci na prostředí internetového prohlížeče je velkou chybou.

To je názor, který je v současné době ojedinělý, či spíše zastaralý. Pravda je, že dříve se obecně věřilo, že internetové a intranetové aplikace nejsou tak uživatelsky přívětivé jako nativní aplikace pro daný operační systém. Přesto vznikalo stále více internetových aplikací, protože přinášely velký užitek i za cenu nižší uživatelské přítulnosti. Takové aplikace jsou totiž na platformě nezávislé, díky centrální instalaci a správě snadno upravovatelné, aktualizovatelné a lze snáze zajistit jejich nepřetržitou dostupnost. V roce 2004 ale technologický leader Google převrátil pohled na intranetové aplikace vzhůru nohama. Spustil Gmail, svůj freemail postavený na technologii AJAX, a tím ukázal, že intranetová aplikace může být dokonce mnohem přítulnější než jakákoliv nativní aplikace. Ukázal, že operace jako vyhledávání je v prostředí intranetové aplikace možné provádět na silných centrálních serverech v časech, o jakých si může libovolná pracovní stanice nechat jen zdát. AJAX se od té doby šíří jako stepní požár. Ač je pro uživatele neviditelný, naleznete jej uvnitř ohromného množství internetových aplikací. Dnes není problém implementovat sdílený textový editor, který dovolí uživatelům psát současně do jednoho dokumentu. Nakonec firmu, která jej vyvinula, Google nedávno koupil. Centrálně instalované a spravované aplikace zažívají renesanci a jsou znovu objevována pozitiva, která platila v dřevních dobách sálových počítačů, tedy sdílení zdrojů, mobilita uživatele mezi přístupovými terminály i dokonalý přehled o instalovaných aplikacích a jejich verzích.

Internetový prohlížeč nelze jako platformu v žádném případě podceňovat, naopak jeho význam zřejmě ještě poroste. Prohlížeč je dnes aplikací složitější než samotný operační systém, na kterém je spuštěn. Poskytuje běžícím aplikacím uniformní prostředí, které skrývá odlišnosti jednotlivých operačních systémů, vstupních a výstupních zařízení. Na rozdíl od běžných aplikací je např. snadno přizpůsobitelný pro použití handicapovanými uživateli. Nabízí bezpečnostní model, který je stále dokola prověřován a zdokonalován, proto je možné aplikacím zajistit bezpečné prostředí pro jejich běh. Nativní aplikace mohou potenciálně obsahovat spoustu chyb, které možná nebudou nikdy odhaleny, ale možná budou odhaleny těmi špatnými hochy, a tak autoři o chybách nebudou vědět a nebudou je moci opravit. Aplikace je tím bezpečnější, čím více má uživatelů a čím pečlivěji je její bezpečnost zkoušena, což úzce souvisí s počtem uživatelů. Autoři aplikace musí být neustále motivováni ke zlepšování její bezpečnosti. I z hlediska informování uživatelů je lepší, pokud jsou problémy nalezeny v široce používané aplikaci, protože není nic "lepšího" než informace o strašném nebezpečí v televizních novinách. Žádný varovný e-mail dodavatele nevyvolá tak urputnou snahu aplikovat co nejdříve bezpečnostní záplatu jako dostatečně dramaticky podaná zpráva o nebezpečích plynoucích z jejího neaplikování. Proprietární jednoúčelové aplikace takovou míru popularity nemohou získat.

Použití prohlížeče, a potažmo standardních komunikačních protokolů, má i další velké bezpečnostní plus. Takový protokol lze snadno přenést přes firewall nebo aplikační bránu standardním způsobem. Zatímco nativní aplikace komunikující vlastními protokoly vyžadují exotické konfigurace firewallů, zpravidla bez možnosti jemnějšího vyladění konfigurace, protože nikdo vlastně neví, jak protokol vypadá a zda i zítřejší verze bude vypadat stejně. Linuxové konference jsou plné příspěvků nešťastných administrátorů, kteří se snaží umožnit svým uživatelům nerušené používání všech aplikací a současně dobře zabezpečit svoji síť. Naproti tomu protokol https lze směřovat do internetu i ze sítí, které k němu nejsou přímo připojeny. Prohlížeč lze snadno integrovat do libovolné aplikace, jeho prostřednictvím lze snadno exportovat data a pokud je komunikační protokol otevřený, je možné snadno získat data pro použití i v jiných aplikacích, než je internetový prohlížeč.

Pozornost autora článku vzbudil i systém dvou hesel. To je skutečně zcela unikátní řešení, se kterým jsem se u žádné aplikace nesetkal. Když se nad tím člověk hlouběji zamyslí, tento princip řeší jednu velkou bolest hesel. Hesla uživatelů je možné generovat automaticky, tím vznikají hesla s velkou mírou náhodnosti, která se dají jen velmi těžko uhodnout při automatizovaném hádání hesel. Nebo je možné uživatelům dovolit zvolit heslo vlastní. Je prakticky pravidlem, že pokud je uživateli dovoleno, aby si heslo zvolil, zvolí heslo snadno uhodnutelné. Úplně stejným pravidlem je, že těžko uhodnutelné heslo si uživatel nedokáže zapamatovat, a tak si je zapisuje na různé papírky, které po chvíli hledaní najde každý trochu schopný útočník v okolí uživatelova počítače. Pokud tyto principy spojíme, získáme s vynaložením poměrně nepatrných nákladů velmi pěkný stupeň bezpečnosti. Máme současně heslo, které je velmi obtížně strojově uhodnutelné a které si uživatel možná i napíše někam, kde je má po ruce (velmi populární je spodní strana klávesnice), a současně máme heslo, které je jednoduché a uživatel si jej dokáže pamatovat, aniž by si jej musel někam zapsat. Přitom strojové hádání hesel ztroskotá na prvním náhodně generovaném hesle a nebude mít možnost vyzkoušet uhodnout to jednodušší heslo, které si uživatel zvolil sám. Současně ale z dokumentů, které jsou na www.izip.cz k nalezení, vyplývá, že i strojové hádání je poměrně obtížné, protože již po třetím špatně zadaném hesle je daná knížka zablokována a není tedy možné v hádání hesla pokračovat.

Bezpečnost je vždy kompromisem a je potřeba velmi pečlivě vyvažovat použitelnost systému v poměru k obtížnosti přístupu k datům. Pokud autoři dovolují několik postupně bezpečnějších metod přihlašování, dávají svému uživateli volnost v rozhodnutí, nakolik chce mít svá data chráněna a nakolik je chce mít snadno přístupná. Citlivost zdravotních dat je totiž výrazně individuální a zatímco někdo o svých nemocích nemluví ani se svými nejbližšími, spousta lidí vyloží všechny své choroby každému, koho potká u doktora v čekárně, jen pro ukrácení dlouhé chvíle. Stále je tu svoboda volby: nemusím si IZIP pořídit, mohu si jej pořídit a nastavit si přístupnost pouze s nejvyšším stupněm zabezpečení, a nebo mohu nastavit zabezpečení nižší s výhodou, že nemusím kupovat a instalovat čtečku čipových karet. Integritu svého počítače snadno ochráním třeba používáním alternativního operačního systému nebo nákupem dobrého antivirového řešení, nicméně zase je to rozhodnutí uživatele, nakolik svůj počítač chce mít zabezpečen. Ze stejného počítače pravděpodobně vstupuje na svůj bankovní účet, odesílá soukromou i pracovní korespondenci. Uživatel počítače nese důsledky jeho používání stejně jako řidič auta důsledky jeho špatného technického stavu.

Státem provozované zdravotní registry, které autor obdivuje, naopak nedávají pacientovi vůbec žádnou možnost výběru, zda a jaká data o něm budou evidována, nedávají mu žádnou možnost volby, kdo k informacím bude mít přístup, a ani mu nedávají možnost podívat se, zda jsou údaje pravdivé. Pokud někdo splete při vkládání záznamu rodné číslo pacienta (opíše výsledek z následujícího řádku výkazu), bude v registru evidován nadosmrti jako HIV pozitivní a nikdy se nedozví, proč se na běj všude tak divně dívají. Data evidovaná bez aktivní účasti subjektů, kterých se týkají, budou vždy velmi chybová a nepřesná. A u informací o zdraví je chybná informace mnohem škodlivější než žádná informace. Teprve zapojením pacienta se stává databáze zdravotnických informací užitečná a současně se tím eliminuje riziko, že by libovolný lékař mohl zapsat libovolnou informaci do karty libovolného pacienta. To si pacient jednoduše nenechá líbit, pokud může. Třináct státních zdravotních registrů mu žádnou možnost obrany nedává.