Υπάρχουν πολλά περισσότερα στο HTTPS από ένα λουκέτο δίπλα σε μια διεύθυνση URL.
Με την ευρεία χρήση του διαδικτύου, η προστασία των προσωπικών πληροφοριών και των ευαίσθητων δεδομένων έχει γίνει κύριο μέλημα. Το HTTPS (Hypertext Transfer Protocol Secure) έχει ιδιαίτερη σημασία ως πρωτόκολλο που διασφαλίζει την ασφάλεια της επικοινωνίας στο διαδίκτυο. Ακολουθούν τα μέτρα ασφαλείας που παρέχει το HTTPS και τα πλεονεκτήματα που προσφέρει στους χρήστες του διαδικτύου.
HTTPS και Layered Security
Το HTTPS δεν είναι μια απλή δομή που αποτελείται από ένα ενιαίο κομμάτι. Το HTTPS είναι σαν ένα σύστημα και υπάρχουν διάφορα μέρη που συνθέτουν το HTTPS. Προκειμένου το σύστημα που δημιουργείται από περισσότερα από ένα μέρη να λειτουργεί με μια συγκεκριμένη σειρά, τα μέρη που απαρτίζουν αυτό το σύστημα πρέπει επίσης να είναι ασφαλή.
Στον σημερινό κόσμο, η επικοινωνία είναι το κομβικό σημείο όπου η ασφάλεια είναι περισσότερο απαραίτητη. Η βάση αυτού του κόσμου βασίζεται στο πρωτόκολλο TCP/IP. Αλλά όταν πρόκειται για ασφάλεια, το Σουίτα πρωτοκόλλου TCP/IP έχει αρχίσει να υπολείπεται.
Αν και έχουν γίνει προσπάθειες να αντιμετωπιστούν αυτές οι ελλείψεις με νέα πρωτόκολλα, παραμένει ένα θεμελιώδες πρόβλημα που μπορεί να επηρεάσει ολόκληρο το σύστημα. Για παράδειγμα, για να θεωρήσετε μια εφαρμογή που λειτουργεί μέσω HTTPS ως ασφαλή, είναι απαραίτητο να έχετε μια καλή την κατανόηση των επιπέδων που αποτελούν το σύστημα και την αξιολόγηση των τρωτών σημείων ασφαλείας που υπάρχουν σε αυτά στρώματα.
Τέσσερα επιπλέον πρωτόκολλα μπαίνουν στο παιχνίδι για να πραγματοποιηθεί η σύνδεση HTTPS. Αυτά είναι τα επίπεδα SSL/TLS, TCP, IP και ARP. Προς το παρόν, μπορείτε να αγνοήσετε τον τρόπο λειτουργίας τους. Αυτό στο οποίο πρέπει να εστιάσετε είναι ότι ανεξάρτητα από το πόσο ασφαλές είναι το HTTPS, μια ευπάθεια σε άλλα πρωτόκολλα θα επηρεάσει το HTTPS. Είναι λοιπόν το HTTPS ανασφαλές σε αυτήν την περίπτωση;
Είναι το HTTPS πραγματικά ασφαλές;
Οι τράπεζες, οι ιστότοποι ηλεκτρονικών αγορών και διάφορα ιδρύματα συνήθως χρησιμοποιούν μεθόδους κρυπτογράφησης 128 bit. Αν και η κρυπτογράφηση 128-bit είναι αξιόπιστη στα σημερινά πρότυπα, αυτή η μέθοδος από μόνη της δεν αρκεί. Μαζί με την κρυπτογράφηση, άλλες υποδομές πρέπει επίσης να είναι ασφαλείς.
Η πρώτη και πιο σημαντική επίθεση τύπου SSL που αντιμετωπίζει είναι οι επιθέσεις Man-in-the-Middle. Σε επιθέσεις τύπου MITM, ο εισβολέας τοποθετείται μεταξύ του πελάτη-θύματος και του διακομιστή, με στόχο να ακούει και να χειρίζεται την κυκλοφορία.
Ο εισβολέας παρεμβαίνει με MITM σε συνδέσεις HTTP δημιουργεί ένα πλαστό πιστοποιητικό, το οποίο δημιουργεί ένα σφάλμα στο πρόγραμμα περιήγησης του χρήστη επειδή το πιστοποιητικό δεν έχει υπογραφεί από έγκυρη αρχή έκδοσης πιστοποιητικών. Στο παρελθόν, ήταν δυνατή η εύκολη παράκαμψη των προειδοποιήσεων του προγράμματος περιήγησης. Αλλά στις μέρες μας, οι προειδοποιήσεις ασυμβατότητας SSL που δίνονται από τα προγράμματα περιήγησης είναι πραγματικά τρομακτικές.
Το πιο προφανές παράδειγμα αυτού είναι οι προειδοποιήσεις των σύγχρονων προγραμμάτων περιήγησης ότι ο ιστότοπος στον οποίο θέλετε να συνδεθείτε ενδέχεται να είναι ανασφαλής λόγω ασυμβατότητας πιστοποιητικού SSL. Αυτές οι προειδοποιήσεις συχνά αναγκάζουν τους συνειδητοποιημένους χρήστες που συνδέονται στον ιστότοπο να εγκαταλείψουν τον ιστότοπο.
Υπάρχουν άλλα τρωτά σημεία που μπορούν να καταστήσουν το HTTPS ανασφαλές για τον χρήστη;
Η σχέση μεταξύ SSL και HTTP
Η συντριπτική πλειοψηφία των ιστοσελίδων χρησιμοποιήστε SSL (HTTPS) για λόγους ασφαλείας. Αλλά σήμερα, τα περισσότερα συστήματα με SSL χρησιμοποιούν HTTP και HTTPS μαζί. Έχετε πρόσβαση σε μια ιστοσελίδα πρώτα μέσω HTTP. Μετά από αυτό, το HTTPS λειτουργεί σε συνδέσμους που θα περιέχουν ευαίσθητες πληροφορίες.
Οι εταιρείες δεν χρησιμοποιούν μόνο HTTPS. Αυτό συμβαίνει επειδή το SSL απαιτεί πρόσθετη χωρητικότητα από την πλευρά του διακομιστή. Επιπλέον, εάν υποθέσετε ότι οι πληροφορίες της περιόδου σύνδεσης μεταφέρονται ως επί το πλείστον μέσω cookie στο HTTP και εάν οι προγραμματιστές από την πλευρά του διακομιστή δεν πρόσθεσαν ασφαλής λειτουργία στα cookies, κάποιος που μπορεί να ακούσει την κίνηση μπορεί να έχει πρόσβαση στα συστήματα για λογαριασμό σας μέσω cookies χωρίς να χρειάζεται λογαριασμό πληροφορίες.
Η ασφαλής λειτουργία των cookies βοηθά στη μεταφορά cookie μόνο μέσω ασφαλούς σύνδεσης. Επομένως, είναι ένα θέμα που πρέπει να προσέξουν ιδιαίτερα όσοι αναπτύσσονται από την πλευρά του διακομιστή.
Πώς μπορείτε να προστατευθείτε;
Όταν εισέρχεστε σε έναν ιστότοπο, φροντίστε να ελέγξετε τη διεύθυνση URL. Δεν θα είναι αρκετό να δείτε ότι η διεύθυνση URL που εισαγάγατε ξεκινά με HTTPS. Ταυτόχρονα, ο καθένας μπορεί να γράψει το δικό του πιστοποιητικό SSL. Θα πρέπει επίσης να ελέγξετε το πιστοποιητικό SSL που χρησιμοποιεί ο ιστότοπος. Για να ανακαλύψετε περισσότερα σχετικά με το πιστοποιητικό, απλώς μετακινήστε τον κέρσορα στο εικονίδιο κλειδώματος στη γραμμή διευθύνσεων και κάντε κλικ σε αυτό.
Επίσης, να είστε πάντα δύσπιστοι όταν δίνετε προσωπικά και τραπεζικά στοιχεία σε ιστότοπους. Κανείς δεν θέλει να αντιμετωπίσει μη αναστρέψιμα αποτελέσματα. Φροντίστε να διατηρείτε ενημερωμένο το πιο πρόσφατο λογισμικό σας και να συνεχίζετε πάντα να εκπαιδεύεστε σχετικά με την ευαισθητοποίηση σχετικά με την ασφάλεια στον κυβερνοχώρο.
