HTTPS je veliko več kot ključavnica poleg URL-ja.
S široko uporabo interneta je zaščita osebnih in občutljivih podatkov postala velika skrb. HTTPS (Hypertext Transfer Protocol Secure) je še posebej pomemben kot protokol, ki zagotavlja varnost komunikacije na internetu. Tu so varnostni ukrepi, ki jih nudi HTTPS, in prednosti, ki jih ponuja uporabnikom interneta.
HTTPS in večplastna varnost
HTTPS ni preprosta struktura, sestavljena iz enega kosa. HTTPS je kot sistem in HTTPS sestavljajo različni deli. Da lahko sistem, ki ga ustvari več kot en del, deluje v določenem vrstnem redu, morajo biti varni tudi deli, ki sestavljajo ta sistem.
V današnjem svetu je komunikacija osrednja točka, kjer je varnost najbolj potrebna. Osnova tega sveta je zgrajena na protokolu TCP/IP. Ko pa gre za varnost, je Nabor protokolov TCP/IP je začelo primanjkovati.
Čeprav so te pomanjkljivosti poskušali odpraviti z novimi protokoli, ostaja temeljna težava, ki lahko vpliva na celoten sistem. Na primer, da bi aplikacijo, ki deluje prek HTTPS, šteli za varno, je nujno imeti dobro razumevanje plasti, ki sestavljajo sistem, in ocenjevanje varnostnih ranljivosti v njih plasti.
Za povezavo HTTPS pridejo v poštev štirje dodatni protokoli. To so plasti SSL/TLS, TCP, IP in ARP. Za zdaj lahko prezrete, kako delujejo. Osredotočiti se morate na to, da ne glede na to, kako varen je HTTPS, bo ranljivost v drugih protokolih vplivala na HTTPS. Ali je HTTPS v tem primeru nevaren?
Ali je HTTPS dejansko varen?
Banke, spletna nakupovalna mesta in različne ustanove običajno uporabljajo 128-bitne metode šifriranja. Čeprav je 128-bitno šifriranje zanesljivo v današnjih standardih, ta metoda sama po sebi ni dovolj. Poleg šifriranja morajo biti varne tudi druge infrastrukture.
Prva in najpomembnejša vrsta napada, s katero se sooča SSL, so napadi Man-in-the-Middle. Pri napadih tipa MITM se napadalec postavi med odjemalca žrtve in strežnik, da bi poslušal in manipuliral promet.
Napadalec posreduje z MITM v povezavah HTTP ustvari lažno potrdilo, ki ustvari napako v brskalniku uporabnika, ker potrdilo ni podpisano s strani veljavnega CA. V preteklosti je bilo mogoče zlahka zaobiti opozorila brskalnika. Toda dandanes so opozorila o nezdružljivosti SSL, ki jih dajejo brskalniki, res zastrašujoča.
Najbolj očiten primer tega so opozorila sodobnih brskalnikov, da je stran, na katero se želite prijaviti, morda nevarna zaradi nezdružljivosti SSL certifikata. Ta opozorila pogosto povzročijo, da ozaveščeni uporabniki, ki se prijavijo na spletno mesto, zapustijo spletno mesto.
Ali obstajajo še kakšne druge ranljivosti, zaradi katerih lahko HTTPS postane nevaren za uporabnika?
Razmerje med SSL in HTTP
Velika večina spletnih mest za varnostne namene uporabite SSL (HTTPS).. Toda danes večina sistemov s SSL uporablja HTTP in HTTPS skupaj. Do spletne strani najprej dostopate prek HTTP-ja. Nato HTTPS deluje na povezavah, ki bodo vsebovale občutljive informacije.
Podjetja ne uporabljajo samo HTTPS. To je zato, ker SSL zahteva dodatno zmogljivost na strani strežnika. Poleg tega, če domnevate, da se informacije o seji večinoma prenašajo prek piškotkov v HTTP in če razvijalci na strani strežnika niso dodali varna funkcija za piškotke, lahko nekdo, ki lahko posluša promet, dostopa do sistemov v vašem imenu prek piškotkov, ne da bi potreboval račun informacije.
Varna funkcija piškotkov pomaga pri prenosu piškotkov samo prek varne povezave. Zato je to vprašanje, na katerega bi morali biti pozorni predvsem tisti, ki razvijajo s strani strežnika.
Kako se lahko zaščitite?
Ko vnesete spletno mesto, preverite URL. Ne bo dovolj videti, da se URL, ki ste ga vnesli, začne s HTTPS. Hkrati lahko vsakdo napiše svoj SSL certifikat. Preverite tudi SSL certifikat, ki ga uporablja spletno mesto. Če želite izvedeti več o potrdilu, preprosto premaknite kazalec na ikono ključavnice v naslovni vrstici in jo kliknite.
Prav tako bodite vedno skeptični, ko spletnim mestom dajete svoje osebne in bančne podatke. Nihče se ne želi soočiti z nepopravljivimi posledicami. Poskrbite, da bo vaša najnovejša programska oprema posodobljena in se vedno izobražujte o kibernetski varnosti.