HTTPS ir daudz vairāk nekā piekaramā atslēga blakus URL.
Plaši izmantojot internetu, personas informācijas un sensitīvu datu aizsardzība ir kļuvusi par galveno problēmu. HTTPS (Hypertext Transfer Protocol Secure) ir īpaši svarīgs protokols, kas nodrošina saziņas drošību internetā. Šeit ir norādīti HTTPS drošības pasākumi un priekšrocības, ko tas piedāvā interneta lietotājiem.
HTTPS un slāņu drošība
HTTPS nav vienkārša struktūra, kas sastāv no viena gabala. HTTPS ir kā sistēma, un HTTPS veido dažādas daļas. Lai sistēma, ko veido vairāk nekā viena daļa, darbotos noteiktā secībā, arī daļām, kas veido šo sistēmu, jābūt drošām.
Mūsdienu pasaulē komunikācija ir centrālais punkts, kur drošība ir visvairāk nepieciešama. Šīs pasaules pamats ir balstīts uz TCP/IP protokolu. Bet, kad runa ir par drošību, TCP/IP protokolu komplekts ir sācis pietrūkt.
Lai gan ir veikti mēģinājumi novērst šīs nepilnības ar jauniem protokoliem, joprojām pastāv būtiska problēma, kas var ietekmēt visu sistēmu. Piemēram, lai uzskatītu, ka lietojumprogramma, kas darbojas, izmantojot HTTPS, ir droša, ir svarīgi nodrošināt labu izpratni par sistēmas slāņiem un novērtēt tajos esošās drošības ievainojamības slāņi.
Lai izveidotu HTTPS savienojumu, tiek izmantoti četri papildu protokoli. Tie ir SSL/TLS, TCP, IP un ARP slāņi. Pagaidām varat ignorēt to darbību. Jums jākoncentrējas uz to, ka neatkarīgi no tā, cik droša ir HTTPS, citu protokolu ievainojamība ietekmēs HTTPS. Tātad, vai HTTPS šajā gadījumā ir nedrošs?
Vai HTTPS tiešām ir drošs?
Bankas, tiešsaistes iepirkšanās vietnes un dažādas iestādes parasti izmanto 128 bitu šifrēšanas metodes. Lai gan mūsdienu standartos 128 bitu šifrēšana ir uzticama, ar šo metodi vien nepietiek. Līdztekus šifrēšanai ir jābūt drošai arī citām infrastruktūrām.
Pirmais un vissvarīgākais SSL uzbrukuma veids ir uzbrukumi Man-in-the-Middle. MITM tipa uzbrukumos uzbrucējs atrodas starp cietušo klientu un serveri, lai noklausītos un manipulētu ar trafiku.
Uzbrucējs iejaucas MITM HTTP savienojumos ģenerē viltotu sertifikātu, kas rada kļūdu lietotāja pārlūkprogrammā, jo sertifikātu nav parakstījusi derīga CA. Agrāk pārlūkprogrammas brīdinājumus bija iespējams viegli apiet. Taču mūsdienās pārlūkprogrammu sniegtie brīdinājumi par SSL nesaderību ir patiešām biedējoši.
Acīmredzamākais piemērs tam ir mūsdienu pārlūkprogrammu brīdinājumi, ka vietne, kurā vēlaties pieteikties, var būt nedroša SSL sertifikātu nesaderības dēļ. Šie brīdinājumi bieži liek apzinātiem lietotājiem, kuri piesakās vietnē, atstāt vietni.
Vai ir kādas citas ievainojamības, kas var padarīt HTTPS nedrošu lietotājam?
Saistība starp SSL un HTTP
Lielākā daļa vietņu drošības nolūkos izmantojiet SSL (HTTPS).. Taču mūsdienās lielākā daļa sistēmu ar SSL izmanto HTTP un HTTPS kopā. Vispirms piekļūstat tīmekļa lapai, izmantojot HTTP. Pēc tam HTTPS darbojas uz saitēm, kurās būs sensitīva informācija.
Uzņēmumi izmanto ne tikai HTTPS. Tas ir tāpēc, ka SSL servera pusē ir nepieciešama papildu jauda. Turklāt, ja pieņemat, ka sesijas informācija galvenokārt tiek pārsūtīta HTTP sīkfailos un ja servera puses izstrādātāji nav pievienojuši sīkfailu droša funkcija, kāds, kas var klausīties trafiku, var piekļūt sistēmām jūsu vārdā, izmantojot sīkfailus, bez nepieciešamības izveidot kontu informāciju.
Sīkdatņu drošā funkcija palīdz pārsūtīt sīkfailus tikai, izmantojot drošu savienojumu. Tāpēc tas ir jautājums, kam īpaši jāpievērš uzmanība tiem, kas izstrādā no servera puses.
Kā jūs varat tikt pasargāts?
Ievadot vietni, noteikti pārbaudiet URL. Nepietiks, ja redzat, ka ievadītais URL sākas ar HTTPS. Tajā pašā laikā ikviens var uzrakstīt savu SSL sertifikātu. Jums jāpārbauda arī vietnes izmantotais SSL sertifikāts. Lai uzzinātu vairāk par sertifikātu, vienkārši pārvietojiet kursoru uz slēdzenes ikonu adreses joslā un noklikšķiniet uz tās.
Tāpat vienmēr esiet skeptisks, sniedzot vietnēm savu personīgo un bankas informāciju. Neviens nevēlas saskarties ar neatgriezeniskiem rezultātiem. Noteikti atjauniniet savu jaunāko programmatūru un vienmēr turpiniet izglītot sevi par kiberdrošības izpratni.
