Viskas, ką verta žinoti apie HTTPS protokolą: nuo neabejotinų privalumų iki erzinančių trūkumų (Video)  (1)

Kas­dien ieš­ko­me in­for­ma­ci­jos, ren­gia­me do­ku­men­tus, nau­do­ja­mės ban­kais, ben­drau­ja­me, pra­mo­gau­ja­me… Žmo­nės tai da­ro jau ne vie­ną šimt­me­tį. Vis dėlto, per pas­ta­ruo­sius ke­le­tą de­šimt­me­čių šių veik­lų at­li­ki­mo ­bū­das pa­si­kei­tė kar­di­na­liai. Ir la­biau­siai už tai rei­kė­tų dė­ko­ti Tim Berners-Lee. Šis ang­lų moks­li­nin­kas dar 1989 me­tais pa­siū­lė pa­sau­li­nio tink­lo WWW (angl. World Wide Web) plėt­ros idė­ją ir vi­zi­ją.


Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Sudomino? Užpildyk šią anketą!

Šis sumanymas kartu su HTTP (angl. HyperText Transfer Protocol) protokolu tapo itin svarbiu šiuolaikinio pasaulinio interneto tinklo kūrimo elementu. Būtent jie ir pradėjo pokyčius, per kitus 27 metus nuolatos skatinusius visuomenę keltis į skaitmeninę erdvę. Atrodo, šį pasiūlymą priėmėme, kadangi kompiuterių ir interneto tinklais kasmet persiunčiame vis daugiau duomenų.


HTTP nedaug sudėtingesnis už mėsainio užsakymą. Privatumo irgi nedaug

Šie informacijos mainų pobūdžio pokyčiai, žinoma, kelia naujus iššūkius tinklų inžinieriams. Ir didžioji dalis tų iššūkių atsiranda dėl sparčiai augančio poreikio keistis privačia bei itin suasmeninta informacija. Be abejonės, reikalingi saugos mechanizmai buvo apgalvoti ir sukurti dar tuomet, kai kibernetinio saugumo problemos nebuvo tokios aktualios. Tačiau vien saugumo protokolų sumanytojai saugumo internete užtikrinti tikrai negali – jiems reikia visų mūsų pagalbos.

Šiuo metu įvairias paslaugas, žiniasklaidos tinklalapius, elektroninį paštą ar socialinius tinklus dažniausiai pasiekiame interneto naršykle. Jos prie tinklalapių gali jungtis tiek saugiai, naudodamos HTTPS (angl. Hyper Text Transfer Protocol Secure ) protokolą, tiek ir seniau sukurtą HTTP protokolą, kuriame saugumo mechanizmų, deja, nėra. HTTPS naudoti kiekviename žingsnyje kol kas tikrai nebūtina, tačiau kada HTTP protokolo reikėtų vengti, taip pat vertėtų suprasti.

HTTP protokolo naudojimo pavojai

Įvairius techninius niuansus palikus nuošalyje, HTTP protokolą galima traktuoti tiesiog kaip tam tikrą taisyklių rinkinį. Remiantis šiuo standartizuotu taisyklių rinkiniu, internetu galima persiųsti ne tik tekstą, bet ir grafinį turinį, vaizdo įrašus, garsą bei kitą skaitmeninę informaciją.

Šiuolaikinės interneto naršyklės specialios metodikos identifikuoti HTTP protokolo susijungimui nenumato. Vis dėlto čia svarbu suprasti, kad bet kuri nuoroda internete prasidedanti prierašu http:// yra aiški žyma, kad bet kokiai informacijai parsisiųsti bus naudojamas HTTP protokolas. Šiuo metu dažniausiai tokių nuorodų netrūksta piktavalių (neretai apsimetančių draugais) siunčiamuose elektroniniuose laiškuose.

HTTP protokolas nesuteikia galimybės įvertinti susijungimo saugumą ir informacijos mainai vyksta atviru tekstu

Jungiantis prie internetinio tinklalapio HTTP protokolu, interneto naršyklei tereikia išsiaiškinti serverio IP adresą, kuriame atitinkamas vartotojo pareikalautas tinklalapis yra talpinamas. Tačiau tokie informacijos mainai su nutolusiu serveriu vartotojui nesuteikia jokio grįžtamojo ryšio, kuriuo būtų galima įvertinti susijungimo saugumą. Tad, pirma, vartotojas negali būti tikras, kad pateko į tikrąjį tinklalapį. Antra, kiekvienas informacijos apsikeitimo ciklas su serveriu vyksta naudojant grynąjį tekstą (angl. plain text ).

Toks HTTP protokolo veikimo principas, be abejonės, turi saugumo spragų. Ir per šias spragas piktavaliai gan paprastai gali pasisavinti trečiųjų šalių konfidencialius duomenis. Jeigu pirmuoju minėtu būdu savo asmeninę informaciją internautas piktavaliui gali perduoti tiesiog ją pats suvesdamas tinklalapyje, tai antruoju atveju konfidenciali informacija gali būti pasisavinta, pavyzdžiui, jungiantis prie interneto tinklo viešose vietose.

Tai puikiai paaiškina, kodėl bankai ar bet kuri kita asmeninius konfidencialius duomenis administruojanti bendrovė primygtinai reikalauja neatidarinėti elektroniniuose laiškuose siųstų internetinių nuorodų. Nors siuntėjas bei jo laiške pateikiama informacija atrodo labai įtikinamai, tačiau dažniausiai tai tiesiog būna piktavalio inicijuota fišingo (angl. phishing ) ataka.

Kaip įtikinamai puslapis beatrodytų, jo tikrumas be saugaus ryšio negali būti užtikrintas

Jos nukreipia internautą į tinklalapį, kuris iš pažiūros atrodo lygiai taip pat kaip ir tikrasis banko ar kokios kitos asmeninius duomenis naudojančios įstaigos tinklalapis. Vis dėlto, jame suvedus savo asmeninius duomenis, prie sistemos prisijungti nepavyks. Po kelių įtikinamų klaidos pranešimų, savo duomenis suvedęs vartotojas tiesiog nuspręs prie sistemos pabandyti prisijungti vėliau. Tačiau blogiausia, kad gavėją, t. y. piktavalį, šių bandymų metu suvesta konfidenciali informacija pasieks.

Kadangi HTTP protokolas nenaudoja jokių šifravimo mechanizmų, prisijungimo slaptažodžius piktavalis net ir be fišingo atakos gali gauti, tiesiog prisijungdamas prie to paties tinklo. Būtent taip programišiai gali nesunkiai peržiūrėti interneto tinklu iki serverių keliaujančius konfidencialius duomenis. Kitaip sakant, net jeigu vedamas slaptažodis kompiuterio ekrane nerodomas, tai nereiškia, kad jo negali pamatyti bet kuris kompiuterių tinklo dalyvis.

Saugos problemų sprendimas: HTTPS protokolas

Vis dažniau kalbama, kad HTTPS saugos mechanizmai šiuolaikiniams kibernetiniams nusikaltėliams nėra neįveikiami. Tačiau praktika rodo, kad kol kas išgauti konfidencialią informaciją, pasinaudojant HTTPS protokolo netobulumu, realaus pagrindo nėra. Tiesiog tai per daug pastangų reikalaujantis procesas, todėl piktavaliams kur kas racionaliau pasitelkti, pavyzdžiui, socialinę inžineriją.

HTTPS protokolo paskirtis tokia pati kaip ir HTTP, bet HTTPS dar pasirūpina ir persiunčiamų duomenų šifravimu bei dešifravimu

Iš pažiūros, HTTPS protokolo paskirtis tokia pati kaip ir HTTP. Vis dėlto, be įprasto informacijos persiuntimo, HTTPS dar pasirūpina ir persiunčiamų duomenų šifravimu bei dešifravimu. Tai gali būti realizuojama, su HTTPS naudojant kriptografinį SSL (angl. Secure Sockets Layer ) arba TLS (angl. Transport Layer Security ) protokolą. Nors techniniu požiūriu dabar saugus ryšys beveik visada būna sudaromas per TLS, tačiau visuomenėje dažniau naudojamas SSL terminas. Siekiant didesnio aiškumo, jis kartais pavadinamas SSL/TLS.

Kad ir koks būtų HTTPS kriptografinis protokolas, duomenų autentiškumui, integralumui, saugumui bei konfidencialumui garantuoti vis tiek naudojama viešojo rakto infrastruktūra PKI (angl. Public Key Infrastructure) bei skaitmeniniai sertifikatai. Būtent taip užtikrinamas siunčiamos informacijos šifravimas, todėl pašaliniam stebėtojui ji atrodo kaip beprasmiškų informacijos bitų kratinys. Tačiau galutinis šių duomenų gavėjas, naudodamas specialų dešifravimo raktą, pirminio siuntėjo informaciją mato tinkamai.

Šių HTTPS protokolo saugos mechanizmų visiškai pakanka anksčiau aptartų HTTP protokolo saugumo problemų sprendimui. Kitaip sakant, HTTPS padeda įsitikinti serverio, su kuriuo ruošiamasi bendrauti, tikrumu, ir garantuoja, kad siunčiamą informaciją supras tik siuntėjas ir gavėjas.

Kaip įsitikinti, kad HTTPS sujungimas saugus?

Pasidalinkite su draugais
(37)
(5)
(32)

Komentarai (1)