A HTTPS sokkal többet jelent, mint egy lakat az URL mellett.
Az internet széles körű elterjedésével a személyes adatok és az érzékeny adatok védelme komoly gondot jelent. A HTTPS (Hypertext Transfer Protocol Secure) különösen fontos protokoll, amely biztosítja az internetes kommunikáció biztonságát. Íme a HTTPS által nyújtott biztonsági intézkedések és az internetfelhasználók számára kínált előnyök.
HTTPS és réteges biztonság
A HTTPS nem egy egyszerű szerkezet, amely egyetlen darabból áll. A HTTPS olyan, mint egy rendszer, és különböző részek alkotják a HTTPS-t. Ahhoz, hogy a több rész által létrehozott rendszer egy bizonyos sorrendben működjön, a rendszert alkotó részeknek is biztonságosnak kell lenniük.
A mai világban a kommunikáció az a fókuszpont, ahol a legnagyobb szükség van a biztonságra. Ennek a világnak az alapja a TCP/IP protokollra épül. De ha a biztonságról van szó, a TCP/IP protokollcsomag alulmaradt.
Noha megpróbálták ezeket a hiányosságokat új protokollokkal orvosolni, továbbra is fennáll egy alapvető probléma, amely az egész rendszert érintheti. Például ahhoz, hogy egy HTTPS-en keresztül működő alkalmazást biztonságosnak tekintsünk, elengedhetetlen egy jó a rendszert alkotó rétegek megértése és az azokon belüli biztonsági rések felmérése rétegek.
Négy további protokoll lép működésbe a HTTPS-kapcsolat létrejöttéhez. Ezek az SSL/TLS, TCP, IP és ARP rétegek. Egyelőre figyelmen kívül hagyhatja, hogyan működnek. Arra kell összpontosítania, hogy bármilyen biztonságos is a HTTPS, más protokollok biztonsági rése hatással lesz a HTTPS-re. Tehát a HTTPS nem biztonságos ebben az esetben?
Valóban biztonságos a HTTPS?
A bankok, online vásárlási oldalak és különféle intézmények általában 128 bites titkosítási módszereket használnak. Bár a 128 bites titkosítás a mai szabványok szerint megbízható, ez a módszer önmagában nem elegendő. A titkosítás mellett más infrastruktúráknak is biztonságosnak kell lenniük.
Az első és legfontosabb SSL támadástípus, amellyel szembe kell nézni, a Man-in-the-Middle támadások. A MITM típusú támadások során a támadó az áldozat kliens és a szerver közé helyezi magát, a forgalom figyelése és manipulálása céljából.
A támadó beavatkozik a MITM-mel a HTTP-kapcsolatokba hamis tanúsítványt generál, amely hibát generál a felhasználó böngészőjében, mert a tanúsítványt nem írta alá egy érvényes CA. A múltban könnyen meg lehetett kerülni a böngésző figyelmeztetéseit. De manapság a böngészők által adott SSL-inkompatibilitási figyelmeztetések valóban ijesztőek.
Ennek legszembetűnőbb példája a modern böngészők figyelmeztetése, miszerint a bejelentkezni kívánt oldal az SSL-tanúsítvány-kompatibilitás miatt nem biztonságos. Ezek a figyelmeztetések gyakran arra késztetik az oldalra bejelentkező tudatos felhasználókat, hogy elhagyják az oldalt.
Vannak más biztonsági rések, amelyek a HTTPS-t nem biztonságossá tehetik a felhasználó számára?
Az SSL és a HTTP kapcsolata
A weboldalak túlnyomó többsége biztonsági okokból használjon SSL-t (HTTPS).. De ma a legtöbb SSL-t használó rendszer együtt használja a HTTP-t és a HTTPS-t. Először HTTP-n keresztül ér el egy weboldalt. Ezt követően a HTTPS olyan hivatkozásokon dolgozik, amelyek érzékeny információkat tartalmaznak.
A vállalatok nem csak a HTTPS-t használják. Ennek az az oka, hogy az SSL további kapacitást igényel a szerver oldalon. Ezen túlmenően, ha feltételezi, hogy a munkamenet-információk többnyire HTTP-n keresztül kerülnek átvitelre a cookie-kon keresztül, és ha a szerveroldali fejlesztők nem adták hozzá a A cookie-k biztonságos funkciója, hogy valaki, aki képes figyelni a forgalmat, hozzáférhet a rendszerekhez az Ön nevében a cookie-kon keresztül anélkül, hogy fiókra lenne szüksége. információ.
A cookie-k biztonságos funkciója segít a cookie-k átvitelében csak biztonságos kapcsolaton keresztül. Ezért ez egy olyan kérdés, amelyre különösen a szerver oldalról fejlesztőknek érdemes odafigyelniük.
Hogyan lehet megvédeni?
Amikor belép egy webhelyre, feltétlenül ellenőrizze az URL-t. Nem lesz elég látni, hogy a megadott URL HTTPS-sel kezdődik. Ugyanakkor bárki megírhatja saját SSL tanúsítványát. Ezenkívül ellenőrizze a webhely által használt SSL-tanúsítványt is. Ha többet szeretne megtudni a tanúsítványról, egyszerűen vigye a kurzort a lakat ikonra a címsorban, és kattintson rá.
Ezenkívül mindig legyen szkeptikus, amikor személyes és banki adatait adja meg webhelyeknek. Senki sem akar visszafordíthatatlan eredményekkel szembesülni. Ügyeljen arra, hogy a legújabb szoftvereket naprakészen tartsa, és mindig folyamatosan képezze magát a kiberbiztonsági tudatosság terén.
