ХТТПС има много више од катанца поред УРЛ-а.
Са широко распрострањеном употребом интернета, заштита личних података и осетљивих података постала је главна брига. ХТТПС (Хипертект Трансфер Протоцол Сецуре) је од посебног значаја као протокол који обезбеђује сигурност комуникације на интернету. Ево безбедносних мера које ХТТПС пружа и предности које нуди корисницима интернета.
ХТТПС и слојевита безбедност
ХТТПС није једноставна структура која се састоји од једног дела. ХТТПС је као систем и постоје различити делови који чине ХТТПС. Да би систем који ствара више делова деловао одређеним редоследом, делови који чине тај систем такође морају бити безбедни.
У данашњем свету комуникација је централна тачка где је безбедност најпотребнија. Темељ овог света је изграђен на ТЦП/ИП протоколу. Али када је у питању безбедност, ТЦП/ИП пакет протокола је почео да пада.
Иако су учињени покушаји да се ови недостаци отклоне новим протоколима, остаје фундаментални проблем који може утицати на цео систем. На пример, да бисте сматрали да је апликација која ради преко ХТТПС-а безбедна, неопходно је да имате добар разумевање слојева који чине систем и процена безбедносних рањивости присутних у њима слојева.
Четири додатна протокола улазе у игру да би се успоставила ХТТПС веза. Ово су ССЛ/ТЛС, ТЦП, ИП и АРП слојеви. За сада, можете занемарити како раде. Оно на шта треба да се фокусирате је да без обзира колико је ХТТПС сигуран, рањивост у другим протоколима ће утицати на ХТТПС. Дакле, да ли је ХТТПС несигуран у овом случају?
Да ли је ХТТПС заиста безбедан?
Банке, сајтови за онлајн куповину и разне институције обично користе 128-битне методе шифровања. Иако је 128-битна енкрипција поуздана у данашњим стандардима, сама ова метода није довољна. Поред енкрипције, друге инфраструктуре такође морају бити безбедне.
Први и најважнији тип напада са којим се суочава ССЛ су напади Ман-ин-тхе-Миддле. У нападима типа МИТМ, нападач се поставља између клијента жртве и сервера, са циљем да слуша и манипулише саобраћајем.
Нападач интервенише са МИТМ-ом у ХТТП везама генерише лажни сертификат, што генерише грешку у прегледачу корисника јер сертификат није потписан од стране важећег ЦА. У прошлости је било могуће лако заобићи упозорења претраживача. Али у данашње време, упозорења о некомпатибилности ССЛ-а која дају претраживачи су заиста застрашујућа.
Најочигледнији пример овога су упозорења савремених претраживача да сајт на који желите да се пријавите можда није сигуран због некомпатибилности ССЛ сертификата. Ова упозорења често доводе до тога да свесни корисници који се пријаве на сајт напусте сајт.
Да ли постоје неке друге рањивости које могу учинити ХТТПС несигурним за корисника?
Однос између ССЛ-а и ХТТП-а
Огромна већина веб локација користите ССЛ (ХТТПС) у безбедносне сврхе. Али данас, већина система са ССЛ-ом користи ХТТП и ХТТПС заједно. Прво приступате веб страници преко ХТТП-а. Након тога, ХТТПС ради на везама које ће садржати осетљиве информације.
Компаније не користе само ХТТПС. То је зато што ССЛ захтева додатни капацитет на страни сервера. Поред тога, ако претпоставите да се информације о сесији углавном преносе преко колачића у ХТТП-у и ако програмери на страни сервера нису додали безбедна функција за колачиће, неко ко може да слуша саобраћај може да приступи системима у ваше име преко колачића без потребе за налогом информације.
Безбедна функција колачића помаже да се колачићи пренесу само преко безбедне везе. Стога је то питање на које треба обратити пажњу посебно они који се развијају са стране сервера.
Како можете бити заштићени?
Када унесете веб локацију, обавезно проверите УРЛ. Неће бити довољно да видите да УРЛ који сте унели почиње са ХТТПС. У исто време, свако може да напише сопствени ССЛ сертификат. Такође би требало да проверите ССЛ сертификат који веб локација користи. Да бисте сазнали више о сертификату, једноставно померите курсор на икону катанца на траци за адресу и кликните на њу.
Такође, увек будите скептични када веб-сајтовима дајете своје личне и банковне податке. Нико не жели да се суочи са неповратним резултатима. Обавезно одржавајте најновији софтвер ажурним и увек наставите да се образујете о свести о сајбер безбедности.