HTTPS yra daug daugiau nei spynelė šalia URL.
Plačiai naudojant internetą, asmeninės informacijos ir neskelbtinų duomenų apsauga tapo dideliu rūpesčiu. HTTPS (Hypertext Transfer Protocol Secure) yra ypač svarbus kaip protokolas, užtikrinantis ryšio internete saugumą. Štai HTTPS teikiamos saugos priemonės ir jo teikiami privalumai interneto vartotojams.
HTTPS ir daugiasluoksnė sauga
HTTPS nėra paprasta struktūra, susidedanti iš vieno gabalo. HTTPS yra tarsi sistema, o HTTPS sudaro įvairios dalys. Kad daugiau nei vienos dalies sukurta sistema veiktų tam tikra tvarka, tą sistemą sudarančios dalys taip pat turi būti saugios.
Šiuolaikiniame pasaulyje bendravimas yra pagrindinis taškas, kuriame labiausiai reikia saugumo. Šio pasaulio pagrindas yra TCP/IP protokolas. Tačiau kalbant apie saugumą, TCP/IP protokolų rinkinys pradėjo trūkti.
Nors šiuos trūkumus buvo bandoma pašalinti naujais protokolais, išlieka esminė problema, galinti paveikti visą sistemą. Pavyzdžiui, norint, kad programa, veikianti per HTTPS, būtų saugi, būtina turėti gerą suprasti sistemos sluoksnius ir įvertinti juose esančias saugumo spragas sluoksniai.
Norint užmegzti HTTPS ryšį, pradedami naudoti keturi papildomi protokolai. Tai SSL/TLS, TCP, IP ir ARP sluoksniai. Kol kas galite nekreipti dėmesio į tai, kaip jie veikia. Reikia sutelkti dėmesį į tai, kad nesvarbu, koks HTTPS saugus būtų, kitų protokolų pažeidžiamumas paveiks HTTPS. Taigi ar HTTPS šiuo atveju nesaugus?
Ar HTTPS iš tikrųjų saugus?
Bankai, internetinės prekybos svetainės ir įvairios institucijos dažniausiai naudoja 128 bitų šifravimo metodus. Nors pagal šiuolaikinius standartus 128 bitų šifravimas yra patikimas, vien šio metodo nepakanka. Be šifravimo, kitos infrastruktūros taip pat turi būti saugios.
Pirmoji ir svarbiausia SSL atakų rūšis, su kuria susiduriama, yra „Man-in-the-Middle“ atakos. MITM tipo atakų metu užpuolikas atsiduria tarp nukentėjusio kliento ir serverio, siekdamas klausytis ir manipuliuoti srautu.
Užpuolikas įsikiša su MITM HTTP ryšiuose sugeneruoja netikrą sertifikatą, kuri sukuria klaidą vartotojo naršyklėje, nes sertifikatas nėra pasirašytas galiojančios CA. Anksčiau buvo galima lengvai apeiti naršyklės įspėjimus. Tačiau šiais laikais naršyklių perspėjimai dėl SSL nesuderinamumo yra tikrai bauginantys.
Ryškiausias to pavyzdys – šiuolaikinių naršyklių įspėjimai, kad svetainė, prie kurios norite prisijungti, gali būti nesaugi dėl SSL sertifikato nesuderinamumo. Dėl šių įspėjimų sąmoningi vartotojai, kurie prisijungia prie svetainės, dažnai palieka svetainę.
Ar yra kokių nors kitų spragų, dėl kurių HTTPS gali būti nesaugus vartotojui?
Ryšys tarp SSL ir HTTP
Didžioji dauguma svetainių saugumo sumetimais naudokite SSL (HTTPS).. Tačiau šiandien dauguma sistemų su SSL naudoja HTTP ir HTTPS kartu. Pirmiausia tinklalapį pasiekiate per HTTP. Po to HTTPS veikia nuorodose, kuriose bus neskelbtinos informacijos.
Įmonės naudoja ne tik HTTPS. Taip yra todėl, kad SSL reikalauja papildomos talpos serverio pusėje. Be to, jei manote, kad seanso informacija dažniausiai perkeliama per HTTP slapukus, ir jei serverio kūrėjai nepridėjo saugi slapukų funkcija, kas nors, galintis klausytis srauto, gali pasiekti sistemas jūsų vardu naudodamas slapukus be paskyros informacija.
Saugi slapukų funkcija padeda perduoti slapukus tik saugiu ryšiu. Todėl tai yra problema, į kurią ypač turėtų atkreipti dėmesį tie, kurie kuria iš serverio pusės.
Kaip galite būti apsaugoti?
Kai įeisite į svetainę, būtinai patikrinkite URL. Nepakaks pamatyti, kad įvestas URL prasideda HTTPS. Tuo pačiu metu kiekvienas gali parašyti savo SSL sertifikatą. Taip pat turėtumėte patikrinti SSL sertifikatą, kurį naudoja svetainė. Norėdami sužinoti daugiau apie sertifikatą, tiesiog perkelkite žymeklį ant užrakto piktogramos adreso juostoje ir spustelėkite ją.
Be to, visada būkite skeptiški, pateikdami savo asmeninę ir banko informaciją svetainėms. Niekas nenori susidurti su negrįžtamais rezultatais. Būtinai atnaujinkite naujausią programinę įrangą ir visada mokykitės apie kibernetinio saugumo žinias.