Elektronika.lt
 2024 m. gruodžio 23 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 - Elektronikos komponentai
 - Elektronikos technologija
 - Parametrų apskaičiavimai
 - Kompiuterija
 - Telekomunikacijos
 - Įvairi teorija
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Gruodžio 22 d. 11:24
Energetikos sektoriaus laukia pokyčiai – alternatyvų yra, bet ar užteko laiko pasiruošti?
Gruodžio 21 d. 11:33
Kokį elektronikos įrenginį dovanoti, kad jis vėliau neišaugintų elektros sąskaitos?
Gruodžio 20 d. 17:12
KTU mokslininkai sukūrė nanolazerį – sidabro nanokubus panaudojo šviesos generavimui
Gruodžio 20 d. 14:28
Lietuvių kalba ir technologijos: VU mokslininkų projektas LIEPA-3 atvers naujas galimybes
Gruodžio 20 d. 11:49
Stacionarūs kompiuteriai: koks jų vaidmuo nešiojamųjų kompiuterių eroje?
Gruodžio 20 d. 08:14
„DS Automobiles“ pristato naujausią savo elektrinį flagmaną – „DS N°8“ kupė
Gruodžio 19 d. 20:18
Naudingi patarimai, kurie padės maksimaliai padidinti jūsų elektrinio automobilio priemonės įveikiamą atstumą
Gruodžio 19 d. 17:27
Žaidybinimas: efektyvus švietimo įrankis ar bėgimas nuo tikrovės?
Gruodžio 19 d. 14:27
Orkaitės darbymetis prasideda: 5 paprasti patarimai, kurie kalėdinius kepinius leis paruošti elektrą naudojant taupiau
Gruodžio 19 d. 11:15
Proveržis magnetų tyrimuose: ištisas savaites tarnaujanti telefono baterija ir 1000 kartų didesnė jo sparta
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
ATS Trailers
American Truck Simulator Mods, ATS Trucks, ATS Maps
Reklama
 Teorija, žinynai » Kompiuterija Dalintis | Spausdinti

Kas tai yra HTTPS protokolas ir kodėl jis saugesnis?

Publikuota: 2016-06-14 20:23
Tematika: Kompiuterija
Skirta: Pradedantiems
Autorius: Jonas Bunevičius
Aut. teisės: ©Technologijos.lt
Inf. šaltinis: Technologijos.lt

Kas­dien ieš­ko­me in­for­ma­ci­jos, ren­gia­me do­ku­men­tus, nau­do­ja­mės ban­kais, ben­drau­ja­me, pra­mo­gau­ja­me… Žmo­nės tai da­ro jau ne vie­ną šimt­me­tį. Vis dėlto, per pas­ta­ruo­sius ke­le­tą de­šimt­me­čių šių veik­lų at­li­ki­mo ­bū­das pa­si­kei­tė kar­di­na­liai. Ir la­biau­siai už tai rei­kė­tų dė­ko­ti Tim Berners-Lee. Šis ang­lų moks­li­nin­kas dar 1989 me­tais pa­siū­lė pa­sau­li­nio tink­lo WWW (angl. World Wide Web) plėt­ros idė­ją ir vi­zi­ją.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Kas­dien ieš­ko­me in­for­ma­ci­jos, ren­gia­me do­ku­men­tus, nau­do­ja­mės ban­kais, ben­drau­ja­me, pra­mo­gau­ja­me… Žmo­nės tai da­ro jau ne vie­ną šimt­me­tį. Vis dėlto, per pas­ta­ruo­sius ke­le­tą de­šimt­me­čių šių veik­lų at­li­ki­mo ­bū­das pa­si­kei­tė kar­di­na­liai. Ir la­biau­siai už tai rei­kė­tų dė­ko­ti Tim Berners-Lee. Šis ang­lų moks­li­nin­kas dar 1989 me­tais pa­siū­lė pa­sau­li­nio tink­lo WWW (angl. World Wide Web) plėt­ros idė­ją ir vi­zi­ją.

Šis sumanymas kartu su HTTP (angl. HyperText Transfer Protocol) protokolu tapo itin svarbiu šiuolaikinio pasaulinio interneto tinklo kūrimo elementu. Būtent jie ir pradėjo pokyčius, per kitus 27 metus nuolatos skatinusius visuomenę keltis į skaitmeninę erdvę. Atrodo, šį pasiūlymą priėmėme, kadangi kompiuterių ir interneto tinklais kasmet persiunčiame vis daugiau duomenų.

Šie informacijos mainų pobūdžio pokyčiai, žinoma, kelia naujus iššūkius tinklų inžinieriams. Ir didžioji dalis tų iššūkių atsiranda dėl sparčiai augančio poreikio keistis privačia bei itin suasmeninta informacija. Be abejonės, reikalingi saugos mechanizmai buvo apgalvoti ir sukurti dar tuomet, kai kibernetinio saugumo problemos nebuvo tokios aktualios. Tačiau vien saugumo protokolų sumanytojai saugumo internete užtikrinti tikrai negali – jiems reikia visų mūsų pagalbos.

Šiuo metu įvairias paslaugas, žiniasklaidos tinklalapius, elektroninį paštą ar socialinius tinklus dažniausiai pasiekiame interneto naršykle. Jos prie tinklalapių gali jungtis tiek saugiai, naudodamos HTTPS (angl. Hyper Text Transfer Protocol Secure ) protokolą, tiek ir seniau sukurtą HTTP protokolą, kuriame saugumo mechanizmų, deja, nėra. HTTPS naudoti kiekviename žingsnyje kol kas tikrai nebūtina, tačiau kada HTTP protokolo reikėtų vengti, taip pat vertėtų suprasti. HTTP protokolo naudojimo pavojai

Įvairius techninius niuansus palikus nuošalyje, HTTP protokolą galima traktuoti tiesiog kaip tam tikrą taisyklių rinkinį. Remiantis šiuo standartizuotu taisyklių rinkiniu, internetu galima persiųsti ne tik tekstą, bet ir grafinį turinį, vaizdo įrašus, garsą bei kitą skaitmeninę informaciją.

Šiuolaikinės interneto naršyklės specialios metodikos identifikuoti HTTP protokolo susijungimui nenumato. Vis dėlto čia svarbu suprasti, kad bet kuri nuoroda internete prasidedanti prierašu http:// yra aiški žyma, kad bet kokiai informacijai parsisiųsti bus naudojamas HTTP protokolas. Šiuo metu dažniausiai tokių nuorodų netrūksta piktavalių (neretai apsimetančių draugais) siunčiamuose elektroniniuose laiškuose.

Jungiantis prie internetinio tinklalapio HTTP protokolu, interneto naršyklei tereikia išsiaiškinti serverio IP adresą, kuriame atitinkamas vartotojo pareikalautas tinklalapis yra talpinamas. Tačiau tokie informacijos mainai su nutolusiu serveriu vartotojui nesuteikia jokio grįžtamojo ryšio, kuriuo būtų galima įvertinti susijungimo saugumą. Tad, pirma, vartotojas negali būti tikras, kad pateko į tikrąjį tinklalapį. Antra, kiekvienas informacijos apsikeitimo ciklas su serveriu vyksta naudojant grynąjį tekstą (angl. plain text ).

Toks HTTP protokolo veikimo principas, be abejonės, turi saugumo spragų. Ir per šias spragas piktavaliai gan paprastai gali pasisavinti trečiųjų šalių konfidencialius duomenis. Jeigu pirmuoju minėtu būdu savo asmeninę informaciją internautas piktavaliui gali perduoti tiesiog ją pats suvesdamas tinklalapyje, tai antruoju atveju konfidenciali informacija gali būti pasisavinta, pavyzdžiui, jungiantis prie interneto tinklo viešose vietose.

Tai puikiai paaiškina, kodėl bankai ar bet kuri kita asmeninius konfidencialius duomenis administruojanti bendrovė primygtinai reikalauja neatidarinėti elektroniniuose laiškuose siųstų internetinių nuorodų. Nors siuntėjas bei jo laiške pateikiama informacija atrodo labai įtikinamai, tačiau dažniausiai tai tiesiog būna piktavalio inicijuota fišingo (angl. phishing) ataka.

Jos nukreipia internautą į tinklalapį, kuris iš pažiūros atrodo lygiai taip pat kaip ir tikrasis banko ar kokios kitos asmeninius duomenis naudojančios įstaigos tinklalapis. Vis dėlto, jame suvedus savo asmeninius duomenis, prie sistemos prisijungti nepavyks. Po kelių įtikinamų klaidos pranešimų, savo duomenis suvedęs vartotojas tiesiog nuspręs prie sistemos pabandyti prisijungti vėliau. Tačiau blogiausia, kad gavėją, t. y. piktavalį, šių bandymų metu suvesta konfidenciali informacija pasieks.

Kadangi HTTP protokolas nenaudoja jokių šifravimo mechanizmų, prisijungimo slaptažodžius piktavalis net ir be fišingo atakos gali gauti, tiesiog prisijungdamas prie to paties tinklo. Būtent taip programišiai gali nesunkiai peržiūrėti interneto tinklu iki serverių keliaujančius konfidencialius duomenis. Kitaip sakant, net jeigu vedamas slaptažodis kompiuterio ekrane nerodomas, tai nereiškia, kad jo negali pamatyti bet kuris kompiuterių tinklo dalyvis.

Saugos problemų sprendimas: HTTPS protokolas

Vis dažniau kalbama, kad HTTPS saugos mechanizmai šiuolaikiniams kibernetiniams nusikaltėliams nėra neįveikiami. Tačiau praktika rodo, kad kol kas išgauti konfidencialią informaciją, pasinaudojant HTTPS protokolo netobulumu, realaus pagrindo nėra. Tiesiog tai per daug pastangų reikalaujantis procesas, todėl piktavaliams kur kas racionaliau pasitelkti, pavyzdžiui, socialinę inžineriją.

Iš pažiūros, HTTPS protokolo paskirtis tokia pati kaip ir HTTP. Vis dėlto, be įprasto informacijos persiuntimo, HTTPS dar pasirūpina ir persiunčiamų duomenų šifravimu bei dešifravimu. Tai gali būti realizuojama, su HTTPS naudojant kriptografinį SSL (angl. Secure Sockets Layer ) arba TLS (angl. Transport Layer Security ) protokolą. Nors techniniu požiūriu dabar saugus ryšys beveik visada būna sudaromas per TLS, tačiau visuomenėje dažniau naudojamas SSL terminas. Siekiant didesnio aiškumo, jis kartais pavadinamas SSL/TLS.

Kad ir koks būtų HTTPS kriptografinis protokolas, duomenų autentiškumui, integralumui, saugumui bei konfidencialumui garantuoti vis tiek naudojama viešojo rakto infrastruktūra PKI (angl. Public Key Infrastructure) bei skaitmeniniai sertifikatai. Būtent taip užtikrinamas siunčiamos informacijos šifravimas, todėl pašaliniam stebėtojui ji atrodo kaip beprasmiškų informacijos bitų kratinys. Tačiau galutinis šių duomenų gavėjas, naudodamas specialų dešifravimo raktą, pirminio siuntėjo informaciją mato tinkamai.

Šių HTTPS protokolo saugos mechanizmų visiškai pakanka anksčiau aptartų HTTP protokolo saugumo problemų sprendimui. Kitaip sakant, HTTPS padeda įsitikinti serverio, su kuriuo ruošiamasi bendrauti, tikrumu, ir garantuoja, kad siunčiamą informaciją supras tik siuntėjas ir gavėjas.

Kaip įsitikinti, kad HTTPS sujungimas saugus?

Gali atrodyti, kad naršymui internete naudojant HTTPS protokolą, šis automatiškai užtikrina konfidencialių duomenų saugumą. Deja, kad ir kaip visi norėtų sukurti tokį kibernetinio saugumo modelį, kol kas tokia siekiamybė neįgyvendinama. Ir taip yra dėl to, nes informacijos saugą telekomunikaciniuose ir kompiuteriniuose tinkluose taip pat lemia ir žmogiškasis faktorius. Būtent dėl to kiekvienam internautui pravartu susipažinti su svarbiausiais HTTPS susijungimo autentiškumo ir saugumo rodikliais.

Kaip ir HTTP protokolo atveju, tai taip ir naudojant HTTPS, susijungimo tipą galima nustatyti pagal prierašą internetinės nuorodos pradžioje. Susijungimui naudojant HTTPS protokolą, nuorodos pradžioje visuomet būna naudojama papildoma https:// žyma. Jeigu HTTP protokolo atveju prierašas http:// dažniausiai neatvaizduojamas, tai naudojant HTTPS protokolą papildoma žyma https:// būna matoma praktiškai visose populiariausiose interneto naršyklėse, o esant saugiam susijungimui, ji dar netgi būna pažymima žalia spalva.

Atidžiau pasižiūrėjus, prie konkrečios nuorodos interneto naršyklėje taip pat galima pastebėti ir spynos piktogramą. Ši taip pat yra vienas iš skiriamųjų HTTPS protokolo naudojimo ženklų. Kartais šalia spynos piktogramos gali būti rašomas ir bendrovės ar įstaigos, prie kurios tinklalapio jungiamasi, pavadinimas.

Tai yra aiškios nuorodos, kad susijungimas HTTPS protokolu yra saugus ir vykdomas su patikimu serveriu. Šį grįžtamąjį ryšį apie tinkamą susijungimą vartotojui įmanoma pateikti, naudojant SSL skaitmeninius sertifikatus. Sertifikatai tinklalapiams prie kurių nuorodos rašomas ir jau minėtas įmonės ar bendrovės pavadinimas, išduodami, taikant dar griežtesnius reikalavimus. Šiuos EV (angl. Extended Validation ) SSL tipo sertifikatus, siekdami pagrįsti savo tapatybę, labai dažnai naudoja bankams priklausantys tinklalapiai.

Prieš pradedant susijungimą HTTPS protokolu, serveris užklausą pateikusiam vartotojui visų pirma atsiunčia savo tapatybę patvirtinantį sertifikatą. Jame būna nurodomas sertifikato savininkas, jo galiojimo periodas, jį išdavusios institucijos pavadinimas bei kita svarbi informacija. Jeigu interneto naršyklė nustato, kad apie atitinkamą SSL sertifikatą savo duomenų bazėje ji neturi jokios informacijos ar šie duomenys nesutampa, toks HTTPS susijungimas iš karto bus interpretuojamas kaip nesaugus.

Apie tai interneto naršyklė vartotoją informuoja raudonai perbraukdama https:// užrašą. Be to, vartotojas tokiu atveju apie potencialų saugos trūkumo pavojų taip pat būna pakartotinai informuojamas papildomu pranešimu monitoriaus ekrane. Kitaip sakant, prieš patekdamas į tokį puslapį, jis privalo patvirtinti savo pasirinkimą, kadangi kitu atveju interneto naršyklė tinklalapio su netinkamu SSL sertifikatu tiesiog neįkels.

Toks netinkamo sertifikato ignoravimas gali padėti užkirsti kelią piktavalio inicijuojamai atakai. Vis dėlto Lietuvoje kartais gerai žinomos įmonės naudoja nuosavus SSL sertifikatus, kurie viešo pripažinimo internetinėje erdvėje, deja, neturi. Tokiu atveju tiesiog reikėtų sukurti saugumo išimtį ir toliau naudotis atitinkamu tinklalapiu, tačiau čia svarbu suprasti, kad šiuo atveju HTTPS protokolo sauga jau nėra tokia patikima. Kitaip sakant, potenciali rizika vietoje įmonės tikrojo SSL sertifikato kada nors parsisiųsti programišiaus pakištą sertifikatą egzistuoja praktiškai kiekvienos komunikacijos su serveriu metu.

Kaip elgtis HTTP tinklalapiuose, kurie turi vartotojų prisijungimo zoną

Kol kas prisijungimas prie visų tinklalapių naudojant tik HTTPS protokolą tikrai nėra būtinas. Pavyzdžiui, kartais HTTP protokolą yra parankiau naudoti dėl spartos, kadangi HTTPS kriptografiniai mechanizmai papildomą apkrovą sukuria ne tik serveriui, bet ir vartotojui. Be to, reikia nepamiršti, kad siekiant kontroliuoti išduodamus SSL sertifikatus, jie yra mokami. Tai puiki bereikšmių skaitmeninių sertifikatų išdavimo ribojimo priemonė, tačiau kartais tai gali tapti pagrindine priežastimi, kodėl pelno nenešantys/nesiekiantys tinklalapiai HTTPS protokolo naudoti nesiryžta.

Trumpai tariant, HTTPS protokolas nebūtinas, kai interneto puslapį galima naudoti, neprisijungus prie paskyros. Tačiau vis daugiau tinklalapių personalines paskyras turi, bet kol kas HTTPS protokolo vis tiek nenaudoja. Tas galioja net ir įprastiems žiniasklaidos informacinėms svetainėms, vis dažniau siūlančioms personalizuotą vartotojo zoną ar netgi mokamas paslaugas.

Kadangi dauguma vartotojų įpratę visur naudoti tuos pačius prisijungimo duomenis, šiuo atveju kur kas racionaliau HTTP tinklalapiams rinktis ne tik kitą slaptažodį, bet taip pat ir kitą prisijungimo vardą. Taip elgdamasis, vartotojas akivaizdžiai vertina savo paties saugumą, kadangi programišius, išgavęs tokius prisijungimo duomenis, jų negalės panaudoti bandydamas prisijungti, pavyzdžiui, prie e. pašto ar kitų, kur kas privatesnių paslaugų.


Technologijos.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

Sveiki ir ekologiški maisto produktai

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama