Има много повече за HTTPS от катинар до URL.
С широкото използване на интернет защитата на личната информация и чувствителните данни се превърна в основна грижа. HTTPS (Hypertext Transfer Protocol Secure) е от особено значение като протокол, който гарантира сигурността на комуникацията в интернет. Ето мерките за сигурност, които HTTPS предоставя и предимствата, които предлага на интернет потребителите.
HTTPS и многослойна сигурност
HTTPS не е проста структура, състояща се от едно цяло. HTTPS е като система и има различни части, които съставят HTTPS. За да може системата, създадена от повече от една част, да действа в определен ред, частите, които съставят тази система, също трябва да бъдат безопасни.
В днешния свят комуникацията е фокусната точка, където сигурността е най-необходима. Основата на този свят е изградена върху протокола TCP/IP. Но когато става въпрос за сигурност, TCP/IP набор от протоколи започна да не достига.
Въпреки че са правени опити за справяне с тези недостатъци с нови протоколи, остава основен проблем, който може да повлияе на цялата система. Например, за да се счита, че приложение, работещо през HTTPS, е сигурно, важно е да имате добро разбиране на слоевете, съставляващи системата, и оценка на уязвимостите в сигурността, налични в тях слоеве.
Четири допълнителни протокола влизат в действие за осъществяване на HTTPS връзката. Това са слоевете SSL/TLS, TCP, IP и ARP. Засега можете да пренебрегнете как работят. Това, върху което трябва да се съсредоточите е, че без значение колко сигурен е HTTPS, уязвимостта в други протоколи ще засегне HTTPS. Така че HTTPS несигурен ли е в този случай?
Сигурен ли е HTTPS?
Банки, сайтове за онлайн пазаруване и различни институции обикновено използват 128-битови методи за криптиране. Въпреки че 128-битовото криптиране е надеждно според днешните стандарти, този метод сам по себе си не е достатъчен. Заедно с криптирането, други инфраструктури също трябва да бъдат защитени.
Първият и най-важен тип атака, с която SSL се сблъсква, са атаките Man-in-the-Middle. При атаки от тип MITM нападателят се поставя между жертвата и сървъра, като се стреми да слуша и манипулира трафика.
Нападателят се намесва с MITM в HTTP връзки генерира фалшив сертификат, което генерира грешка в браузъра на потребителя, защото сертификатът не е подписан от валиден CA. В миналото беше възможно лесно да се заобиколят предупрежденията на браузъра. Но в днешно време предупрежденията за несъвместимост на SSL, дадени от браузърите, са наистина плашещи.
Най-очевидният пример за това са предупрежденията на съвременните браузъри, че сайтът, в който искате да влезете, може да е несигурен поради несъвместимост на SSL сертификата. Тези предупреждения често карат съзнателните потребители, които влизат в сайта, да го напуснат.
Има ли други уязвимости, които могат да направят HTTPS несигурен за потребителя?
Връзката между SSL и HTTP
По-голямата част от уебсайтовете използвайте SSL (HTTPS) за целите на сигурността. Но днес повечето системи с SSL използват HTTP и HTTPS заедно. Първо получавате достъп до уеб страница през HTTP. След това HTTPS работи върху връзки, които ще съдържат чувствителна информация.
Компаниите не използват само HTTPS. Това е така, защото SSL изисква допълнителен капацитет от страната на сървъра. Освен това, ако приемете, че информацията за сесията се пренася предимно чрез бисквитки в HTTP и ако разработчиците от страната на сървъра не са добавили защитена функция за бисквитките, някой, който може да слуша трафика, може да получи достъп до системите от ваше име чрез бисквитки, без да е необходим акаунт информация.
Сигурната функция на бисквитките помага да се прехвърлят бисквитки само през защитена връзка. Следователно това е проблем, на който трябва да се обърне внимание, особено от тези, които се развиват от страната на сървъра.
Как можете да бъдете защитени?
Когато влизате в уебсайт, не забравяйте да проверите URL адреса. Няма да е достатъчно да видите, че URL адресът, който сте въвели, започва с HTTPS. В същото време всеки може да напише свой собствен SSL сертификат. Трябва също да проверите SSL сертификата, който уебсайтът използва. За да научите повече за сертификата, просто преместете курсора си върху иконата за заключване в адресната лента и щракнете върху нея.
Освен това винаги бъдете скептични, когато давате вашата лична и банкова информация на уебсайтове. Никой не иска да се сблъска с необратими резултати. Не забравяйте да поддържате най-новия си софтуер актуален и винаги продължавайте да се обучавате относно осведомеността за киберсигурността.