HTTPS بسیار بیشتر از قفل در کنار URL است.
با استفاده گسترده از اینترنت، حفاظت از اطلاعات شخصی و داده های حساس به یک نگرانی اصلی تبدیل شده است. HTTPS (پرتکل انتقال ابرمتن امن) به عنوان پروتکلی که امنیت ارتباطات در اینترنت را تضمین می کند از اهمیت ویژه ای برخوردار است. در اینجا اقدامات امنیتی ارائه شده توسط HTTPS و مزایایی که به کاربران اینترنت ارائه می دهد، آورده شده است.
HTTPS و امنیت لایه ای
HTTPS ساختار ساده ای نیست که از یک قطعه تشکیل شده باشد. HTTPS مانند یک سیستم است و بخش های مختلفی وجود دارد که HTTPS را تشکیل می دهد. برای اینکه سیستم ایجاد شده توسط بیش از یک قسمت به ترتیب خاصی عمل کند، قطعات تشکیل دهنده آن سیستم نیز باید ایمن باشند.
در دنیای امروز، ارتباطات نقطه کانونی است که امنیت در آن بیش از همه مورد نیاز است. اساس این دنیا بر اساس پروتکل TCP/IP بنا شده است. اما وقتی نوبت به امنیت میرسد، مجموعه پروتکل TCP/IP کمکم شده است.
اگرچه تلاشهایی برای رفع این کاستیها با پروتکلهای جدید صورت گرفته است، اما یک مشکل اساسی وجود دارد که میتواند کل سیستم را تحت تأثیر قرار دهد. به عنوان مثال، برای اینکه برنامه ای که بر روی HTTPS کار می کند ایمن تلقی شود، داشتن درک خوبی از لایه های تشکیل دهنده سیستم و ارزیابی آسیب پذیری های امنیتی موجود در آن لایه ها ضروری است.
چهار پروتکل اضافی برای برقراری ارتباط HTTPS وارد عمل می شوند. اینها لایه های SSL/TLS، TCP، IP و ARP هستند. در حال حاضر، می توانید نحوه کار آنها را نادیده بگیرید. چیزی که باید روی آن تمرکز کنید این است که مهم نیست HTTPS چقدر ایمن باشد، آسیب پذیری در پروتکل های دیگر بر HTTPS تأثیر می گذارد. بنابراین آیا HTTPS در این مورد ناامن است؟
آیا HTTPS واقعا امن است؟
بانک ها، سایت های خرید آنلاین و موسسات مختلف معمولا از روش های رمزگذاری 128 بیتی استفاده می کنند. اگرچه رمزگذاری 128 بیتی در استانداردهای امروزی قابل اعتماد است، اما این روش به تنهایی کافی نیست. در کنار رمزگذاری، سایر زیرساخت ها نیز باید ایمن باشند.
اولین و مهمترین نوع حمله ای که SSL با آن مواجه می شود، حملات Man-in-the-Middle است. در حملات نوع MITM، مهاجم خود را بین کلاینت قربانی و سرور قرار می دهد و هدفش گوش دادن و دستکاری ترافیک است.
مهاجمی که با MITM در اتصالات HTTP مداخله می کند، یک گواهی جعلی ایجاد می کند، که خطا در مرورگر کاربر ایجاد می کند زیرا گواهی توسط یک CA معتبر امضا نشده است. در گذشته دور زدن هشدارهای مرورگر به راحتی امکان پذیر بود. اما امروزه، هشدارهای ناسازگاری SSL که توسط مرورگرها داده می شود، واقعاً ترسناک هستند.
بارزترین مثال آن هشدار مرورگرهای مدرن است که سایتی که می خواهید وارد آن شوید ممکن است به دلیل ناسازگاری گواهی SSL ناامن باشد. این هشدارها اغلب باعث می شود تا کاربران آگاه که وارد سایت می شوند از سایت خارج شوند.
آیا آسیب پذیری دیگری وجود دارد که بتواند HTTPS را برای کاربر ناامن کند؟
رابطه بین SSL و HTTP
اکثریت قریب به اتفاق وب سایت ها از SSL (HTTPS) برای اهداف امنیتی استفاده می کنند. اما امروزه اکثر سیستم های دارای SSL از HTTP و HTTPS با هم استفاده می کنند. شما ابتدا از طریق HTTP به یک صفحه وب دسترسی پیدا می کنید. پس از آن، HTTPS روی پیوندهایی کار می کند که حاوی اطلاعات حساس هستند.
شرکت ها فقط از HTTPS استفاده نمی کنند. این به این دلیل است که SSL به ظرفیت اضافی در سمت سرور نیاز دارد. علاوه بر این، اگر فرض کنید که اطلاعات جلسه بیشتر از طریق کوکیها در HTTP منتقل میشود، و اگر توسعهدهندگان سمت سرور ویژگی امن را به کوکیها اضافه نکرده باشند، شخصی که میتواند به ترافیک گوش دهد میتواند از طرف شما به سیستمها دسترسی داشته باشد. از طریق کوکی ها بدون نیاز به اطلاعات حساب کاربری.
ویژگی امن کوکی ها به انتقال کوکی ها فقط از طریق یک اتصال امن کمک می کند. بنابراین، این موضوعی است که به ویژه برای کسانی که از سمت سرور توسعه می دهند باید مورد توجه قرار گیرد.
چگونه می توان محافظت کرد؟
وقتی وارد یک وب سایت می شوید، حتما URL را بررسی کنید. مشاهده اینکه URL وارد شده با HTTPS شروع می شود کافی نخواهد بود. در همان زمان، هر کسی می تواند گواهی SSL خود را بنویسد. همچنین باید گواهی SSL را که وب سایت استفاده می کند بررسی کنید. برای کشف بیشتر در مورد گواهی، به سادگی نشانگر خود را به نماد قفل در نوار آدرس ببرید و روی آن کلیک کنید.
همچنین، هنگام ارائه اطلاعات شخصی و بانکی خود به وب سایت ها، همیشه شک داشته باشید. هیچ کس نمی خواهد با نتایج غیرقابل برگشت روبرو شود. مطمئن شوید که آخرین نرم افزار خود را به روز نگه دارید و همیشه به آموزش خود در مورد آگاهی از امنیت سایبری ادامه دهید.