יש הרבה יותר ב-HTTPS מאשר מנעול ליד כתובת URL.

עם השימוש הנרחב באינטרנט, ההגנה על מידע אישי ונתונים רגישים הפכה לדאגה גדולה. ל-HTTPS (Hypertext Transfer Protocol Secure) חשיבות מיוחדת כפרוטוקול המבטיח את אבטחת התקשורת באינטרנט. להלן אמצעי האבטחה ש-HTTPS מספק והיתרונות שהוא מציע למשתמשי האינטרנט.

HTTPS ואבטחה שכבתית

HTTPS אינו מבנה פשוט המורכב מיצירה אחת. HTTPS הוא כמו מערכת, וישנם חלקים שונים המרכיבים את HTTPS. על מנת שהמערכת שנוצרה על ידי יותר מחלק אחד תפעל בסדר מסוים, גם החלקים המרכיבים את אותה מערכת חייבים להיות בטוחים.

בעולם של היום, תקשורת היא המוקד שבו יש צורך ביותר אבטחה. הבסיס של העולם הזה בנוי על פרוטוקול TCP/IP. אבל כשזה מגיע לביטחון, ה חבילת פרוטוקול TCP/IP התחיל לרדת.

למרות שנעשו ניסיונות לטפל בחסרונות הללו עם פרוטוקולים חדשים, נותרה בעיה מהותית שיכולה להשפיע על המערכת כולה. לדוגמה, כדי לראות באפליקציה שפועלת ב-HTTPS כמאובטחת, חיוני שיהיה לו טוב הבנה של השכבות המרכיבות את המערכת ולהעריך את פרצות האבטחה הקיימות בהן שכבות.

ארבעה פרוטוקולים נוספים נכנסים לפעולה כדי שחיבור ה-HTTPS יתבצע. אלו הן שכבות SSL/TLS, TCP, IP ו-ARP. לעת עתה, אתה יכול להתעלם איך הם עובדים. מה שאתה צריך להתמקד בו הוא שלא משנה עד כמה HTTPS מאובטח, פגיעות בפרוטוקולים אחרים תשפיע על HTTPS. אז האם HTTPS לא מאובטח במקרה הזה?

instagram viewer

האם HTTPS אכן מאובטח?

בנקים, אתרי קניות מקוונים ומוסדות שונים משתמשים בדרך כלל בשיטות הצפנה של 128 סיביות. למרות שהצפנה של 128 סיביות אמינה בסטנדרטים של היום, השיטה הזו לבדה אינה מספיקה. לצד ההצפנה, גם תשתיות אחרות צריכות להיות מאובטחות.

סוג ההתקפה הראשון והחשוב ביותר שעמו מתמודד SSL ​​הוא התקפות Man-in-the-Middle. בהתקפות מסוג MITM, התוקף ממקם את עצמו בין הלקוח הקורבן לשרת, במטרה להקשיב ולתפעל תנועה.

התוקף מתערב עם MITM בחיבורי HTTP מייצר תעודה מזויפת, אשר יוצר שגיאה בדפדפן של המשתמש מכיוון שהאישור אינו חתום על ידי CA חוקי. בעבר ניתן היה לעקוף בקלות אזהרות בדפדפן. אבל בימינו, אזהרות אי-תאימות SSL שניתנו על ידי הדפדפנים באמת מפחידות.

הדוגמה הברורה ביותר לכך היא האזהרות של דפדפנים מודרניים שהאתר שאליו ברצונך להתחבר עלול להיות לא מאובטח עקב אי תאימות של תעודת SSL. אזהרות אלו גורמות לרוב למשתמשים מודעים שנכנסים לאתר לעזוב את האתר.

האם ישנן נקודות תורפה אחרות שיכולות להפוך את HTTPS לא בטוח עבור המשתמש?

הקשר בין SSL ו-HTTP

הרוב המכריע של אתרי האינטרנט השתמש ב-SSL (HTTPS) למטרות אבטחה. אבל כיום, רוב המערכות עם SSL משתמשות ב-HTTP ו-HTTPS ביחד. אתה נכנס לדף אינטרנט תחילה דרך HTTP. לאחר מכן, HTTPS עובד על קישורים שיכילו מידע רגיש.

חברות לא משתמשות רק ב-HTTPS. הסיבה לכך היא ש-SSL דורש קיבולת נוספת בצד השרת. בנוסף, אם אתה מניח שמידע ההפעלה מועבר בעיקר על גבי עוגיות ב-HTTP, ואם המפתחים בצד השרת לא הוסיפו את תכונה מאובטחת לעוגיות, מישהו שיכול להאזין לתנועה יכול לגשת למערכות בשמך באמצעות עוגיות ללא צורך בחשבון מֵידָע.

התכונה המאובטחת של קובצי Cookie עוזרת להעביר קובצי Cookie רק דרך חיבור מאובטח. לכן, זה נושא שצריך לשים לב אליו במיוחד למי שמתפתח מצד השרת.

איך אפשר להגן עליך?

כאשר אתה נכנס לאתר, הקפד לבדוק את כתובת האתר. לא יספיק לראות שכתובת האתר שהזנת מתחילה ב-HTTPS. במקביל, כל אחד יכול לכתוב תעודת SSL משלו. כדאי גם לבדוק את אישור ה-SSL שהאתר משתמש בו. כדי לגלות עוד על האישור, פשוט העבר את הסמן לסמל המנעול בשורת הכתובת ולחץ עליו.

כמו כן, תמיד היה סקפטי כשאתה מוסר את המידע האישי והבנק שלך לאתרי אינטרנט. אף אחד לא רוצה להתמודד עם תוצאות בלתי הפיכות. הקפד לשמור על התוכנה העדכנית ביותר שלך מעודכנת ותמיד המשך ללמד את עצמך על מודעות לאבטחת סייבר.