امنیت با S اضافه
حتما دیده اید که وقتی آدرس سایتی را وارد می کنید، معمولا یک Http به صورت خودکار به ابتدای آن آدرس اضافه می شود. اما بعضی وقتها هم ممکن است متوجه شوید که به جای Http، عبارت Https برای شما نشان داده می شود. همین S ناقابلی که به انتهای Http اضافه می شود، امنیت اطلاعات تبادل شده شما را تا حد زیادی بالا می برد. اما این S چیست و چطور به ما کمک می کند؟ با ما همراه باشید تا به سادگی جواب این سوالات را دریابید.
Http چیست؟
اطلاعاتی که در اینترنت رد وبدل می شوند از یک پروتکل استاندارد به نام HTTP یا Hyper Text Transfer Protocol استفاده می کنند. این پروتکل یک استاندارد مورد توافق در وب جهانی است که برای دریافت و انتقال اطلاعات مورد استفاده قرار می گیرد. مثلا وقتی شما با مرورگر خود (مثل اینترنت اکسپلورر، فایرفاکس یا کروم) آدرس سایتی را وارد می کنید، مرورگر شما درخواستی را به سایت مورد نظر می فرستد. سایت مقصد جوابی را با HTTP به کامپیوتر شما بر می گرداند که شامل متن ها (و کدهای متنی) است. مرورگر این متنها و کدها را با استفاده از همان HTTP تفسیر می کند و می تواند مطالب آن صفحه اینترنتی را دریافت و به صورت صحیح به شما نشان بدهد.
حالا Https چیست و چه فرقی با Http دارد؟
خلاصه ماجرا این است که HTTP زبان مشترکی بین کاربر (مرورگر شما) و سرور (سرور سایت مورد نظر) ایجاد می کند تا انتقال اطلاعات بصورت درست و استاندارد انجام پذیرد.
اما مشکل پروتکل HTTP این است که رمزگذاری نشده است. بنابراین کسی که در میانه راه تبادل اطلاعات است (مثلا سرویس دهنده اینترنت شما) می تواند با استفاده از ابزارهایی به نام sniffer اطلاعات رد و بدل شده اینترنتی شما را رصد کند و پی ببرد که شما در حال ارسال و دریافت چه اطلاعاتی هستید.
در این صورت اگر شما در حال انتقال و دریافت اطلاعاتی محرمانه مثل امور بانکداری اینترنتی، خواندن ایمیل، یا خرید آنلاین هستید ممکن است این اطلاعات مورد سو استفاده قرار بگیرد.
اما در پروتکل Https اطلاعات بصورت رمزنگاری شده بین وبسایت و کاربر منتقل می شوند. در این حالت از کلیدهایی برای کد کردن استفاده میشود که تمام اطلاعات را (شامل محتوا و آدرس اینترنتی و …) را بصورت امن، رمزنگاری می کند. در این حالت کسی که در میانه راه تبادل باشد (همان سرویس دهنده یا نفوذ کنندگان به سرویس دهنده) وقتی شما به آدرس ایمیلتان در گوگل می روید، نمی تواند محتوای رد و بدل شده را بخواند، بلکه تنها متوجه می شود که شما در حال ارتباط با گوگل هستید
اطلاعات در پروتکل امن چطور رمزنگاری می شوند؟
به زبان ساده می توانیم بگوییم که در اتصال امن ( ssl ) اطلاعات به وسیله دو کلید رمزنگاری می شوند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.
آیا کلیدهای رمزنگاری برای دیگران غیرقابل دسترسی هستند؟
دسترسی به دادهها در پروتکل امن هم ممکن است، اما به دلیل آنکه این داده ها رمزگذاری شده اند، برای بدست آوردن دادههای رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی نداریم! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز بتوان دادههای اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.
از سوی دیگر، دادهها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی دادههای اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمیشوند. به همین دلیل، درصورتی که بدافزار یا ویروسی در هر یک از این سمتها قرار بگیرد، میتواند دادههای اصلی را به راحتی بدزدد.
پروتکل HTTPS چه زمانی امن است؟
این پروتکل زمانی واقعا امن است که حداقل تمام موارد زیر رعایت شده باشند:
۱- کاربر مطمئن باشد که نرمافزار مرورگرش به درستی HTTPS را پیادهسازی کرده و مراجع مورد اعتمادی را در خود قرار دادهاست.
۲- کاربر مطمئن باشد که مراجع، تنها وبسایتهای قانونی را تایید میکنند و دچار اشتباه نمیشوند.
۳- وبسایت یک گواهی معتبر داشته باشد که توسط یکی از مراجع مورد اعتماد کاربر تایید شدهاست. (معمولا اگر گواهی سایتی با آدرس HTTPS معتبر نباشد، مرورگهای جدید، خود اخطار می دهند)
۴- گواهی ارسال شده از طرف سایت مربوط به خود سایت و یا شرکت ادارهکنندهٔ آن باشد. (مثلا گواهی های سایت گوگل باید برای شرکت گوگل (به انگلیسی: Google Inc.) صادر شده باشد. نه شرکتی دیگر)
۵- کاربر یا به آیاسپی خود و مسیر اتصال آن به شبکهٔ وب اعتماد داشتهباشد. و یا مطمئن باشد که روشهای استفاده شده برای رمزگذاری در امنیت لایه انتقال شکستناپذیرند.
به زبان ساده:
* پروتکل HTTPS به دلیل استفاده از رمزنگاری ، مطالب را برای دیگران(غیر از کاربر و سرور سایت مقصد دارای پروتکل Https) غیر قابل رصد می کند.
* پروتکل Https به دلیل فرآیند رمزنگاری ممکن است کمی سرعت دریافت و ارسال داده ها را پایین بیاورد.
* هنگام استفاده از ایمیل، سرویس بانکی و خرید اینترنتی مطمئن شوید که سایت مورد نظر از پروتکل امن Httpsاستفاده می کند.
* برای اطمینان از استفاده از Https آدرس صفحه را در بالای مرورگر خود چک کنید، باید Https در ابتدای آدرس دیده شود. بسیاری از مرورگر ها Https را با رنگ سبز یا پر رنگتر نشان می دهند.
* می توانید روی علامت قفل که کنار Https در نوار آدرس دیده می شود کلیک کنید و اطلاعات بیشتری در مورد پروتکل Https استفاده شده در آن سایت به دست بیاورید.در این حالت مشخصات نمایش داده شده باید با آدرس صفحه همخوانی داشته باشد و مثلا در صفحات مربوط به گوگل، Https هم باید مربوط به گوگل باشد.
(در نگارش این مطلب از مقالات سایت ویکی پدیا نیز استفاده شده است)
خیلی عالی بود
مرسی اطلاعاتتون خیلی کامل بود