HTTPS obsahuje mnohem více než jen visací zámek vedle adresy URL.
S rozšířeným používáním internetu se ochrana osobních informací a citlivých údajů stala hlavním problémem. HTTPS (Hypertext Transfer Protocol Secure) je zvláště důležitý jako protokol, který zajišťuje bezpečnost komunikace na internetu. Zde jsou bezpečnostní opatření, která HTTPS poskytuje, a výhody, které nabízí uživatelům internetu.
HTTPS a vrstvené zabezpečení
HTTPS není jednoduchá struktura skládající se z jednoho kusu. HTTPS je jako systém a HTTPS tvoří různé části. Aby systém vytvořený více než jednou částí fungoval v určitém pořadí, musí být bezpečné i části, které tento systém tvoří.
V dnešním světě je komunikace ústředním bodem, kde je bezpečnost nejvíce potřeba. Základ tohoto světa je postaven na protokolu TCP/IP. Ale pokud jde o bezpečnost, Sada protokolů TCP/IP začal zaostávat.
Přestože byly učiněny pokusy odstranit tyto nedostatky pomocí nových protokolů, zůstává zde zásadní problém, který může ovlivnit celý systém. Například, aby bylo možné považovat aplikaci fungující přes HTTPS za bezpečnou, je nezbytné mít dobrý pochopení vrstev tvořících systém a posouzení bezpečnostních slabin, které se v nich vyskytují vrstvy.
Pro uskutečnění připojení HTTPS vstupují do hry čtyři další protokoly. Jedná se o vrstvy SSL/TLS, TCP, IP a ARP. Prozatím můžete ignorovat, jak fungují. Musíte se zaměřit na to, že bez ohledu na to, jak bezpečný je HTTPS, zranitelnost v jiných protokolech ovlivní HTTPS. Je tedy HTTPS v tomto případě nejisté?
Je HTTPS skutečně bezpečné?
Banky, internetové obchody a různé instituce obvykle používají metody 128bitového šifrování. Přestože je 128bitové šifrování v dnešních standardech spolehlivé, tato metoda sama o sobě nestačí. Spolu s šifrováním musí být zabezpečené i další infrastruktury.
První a nejdůležitější typ útoku, kterému SSL čelí, jsou útoky typu Man-in-the-Middle. Při útocích typu MITM se útočník umisťuje mezi klienta oběti a server s cílem naslouchat a manipulovat s provozem.
Útočník zasahující s MITM do připojení HTTP vygeneruje falešný certifikát, což generuje chybu v prohlížeči uživatele, protože certifikát není podepsán platnou CA. V minulosti bylo možné snadno obejít varování prohlížeče. Ale v dnešní době jsou varování o nekompatibilitě SSL poskytovaná prohlížeči opravdu zastrašující.
Nejviditelnějším příkladem jsou varování moderních prohlížečů, že web, ke kterému se chcete přihlásit, může být nezabezpečený kvůli nekompatibilitě certifikátu SSL. Tato varování často způsobí, že uvědomělí uživatelé, kteří se na web přihlásí, web opustí.
Existují nějaké další chyby zabezpečení, které mohou způsobit, že HTTPS nebude pro uživatele bezpečný?
Vztah mezi SSL a HTTP
Naprostá většina webových stránek používat SSL (HTTPS) pro účely zabezpečení. Ale dnes většina systémů s SSL používá HTTP a HTTPS společně. Na webovou stránku se dostanete nejprve přes HTTP. Poté HTTPS funguje na odkazech, které budou obsahovat citlivé informace.
Společnosti nepoužívají pouze HTTPS. Je to proto, že SSL vyžaduje další kapacitu na straně serveru. Pokud navíc předpokládáte, že informace o relaci jsou většinou přenášeny přes soubory cookie v HTTP a pokud vývojáři na straně serveru nepřidali zabezpečená funkce pro soubory cookie, někdo, kdo může poslouchat provoz, může přistupovat k systémům vaším jménem prostřednictvím souborů cookie bez nutnosti účtu informace.
Zabezpečená funkce souborů cookie pomáhá přenášet soubory cookie pouze prostřednictvím zabezpečeného připojení. Proto je to problém, kterému by měli věnovat pozornost především ti, kteří vyvíjejí ze strany serveru.
Jak můžete být chráněni?
Při zadávání webové stránky nezapomeňte zkontrolovat adresu URL. Nebude stačit vidět, že zadaná adresa URL začíná protokolem HTTPS. Každý si přitom může napsat svůj vlastní SSL certifikát. Měli byste také zkontrolovat certifikát SSL, který web používá. Chcete-li se o certifikátu dozvědět více, jednoduše přesuňte kurzor na ikonu zámku v adresním řádku a klikněte na ni.
Při poskytování svých osobních a bankovních údajů webovým stránkám buďte vždy skeptičtí. Nikdo nechce čelit nevratným výsledkům. Nezapomeňte udržovat svůj nejnovější software aktuální a neustále se vzdělávejte v povědomí o kybernetické bezpečnosti.