Elektronika.lt
 2019 m. spalio 20 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 - Elektronikos komponentai
 - Elektronikos technologija
 - Parametrų apskaičiavimai
 - Kompiuterija
 - Telekomunikacijos
 - Įvairi teorija
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Spalio 19 d. 18:36
Ateina tikras hitas – „League of Legends“ nusitaikė į išmaniuosius telefonus
Spalio 19 d. 10:32
SIM kortelų daugiau nei gyventojų, bet išmanumo lietuviams pritrūko: dauguma gėdijasi prašyti pagalbos
Spalio 19 d. 08:16
3 mobiliosios programos, padedančios akliesiems pažinti pasaulį
Spalio 18 d. 21:09
„Volvo“ pristatė pirmą savo elektromobilį
Spalio 18 d. 20:44
5 telefoniniai žaidimai, kurie įėjo į istoriją: nuo linijos ir taško iki papildytos realybės
Spalio 18 d. 15:41
„Telia“ ruošią tiesioginį atsaką „Netflix“: televizija bus visuose ekranuose
Spalio 18 d. 13:26
„Samsung Galaxy Note 10“ apžvalga: privalumai ir trūkumai
Spalio 18 d. 12:25
Pasitikrinkite savo saugumą: 10 ženklų, kad kažkas seka jūsų kompiuterį
Spalio 18 d. 10:15
VDU mokslininkų inovacijos klimato kaitai stabdyti: augalininkystė be dirvožemio, biodujos iš atliekų ir blokų grandinės technologija (1)
Spalio 18 d. 08:45
Spręs neatidėliotiną ES uodegoje esančios Lietuvos galvosūkį – kur investuoti nuo 2021 metų?
FS 19 Tractor mods
Farming Simulator 19 Mods, FS 19 Maps, How to install
ATS mods
ATS trailer mods, ATS truck mods, ATS map mods
FS 19 Tractors
Farming Simulator 19 Mods, FS 19 Maps, FS 19 Trucks
FS19 Maps, FS19 Trucks
Farming Simulator 2019 Mods, FS19 Tractors
Install MC Mods
Minecraft Dungeons Mods, Minecraft Dungeons Skins, Minecraft Dungeons Maps
FS19 Combines
Farming Simulator 19 Mods, FS19 Trucks, FS 19 Mods
How to Install Mods
Minecraft Dungeons Mod, Minecraft Dungeons Maps, Minecraft Dungeons Skins
Mobilieji telefonai
Mobilieji telefonai internetu, telefonų dėklai, telefonų priedai
Reklama
 Teorija, žinynai » Kompiuterija Dalintis | Spausdinti

Kas tai yra HTTPS protokolas ir kodėl jis saugesnis?

Publikuota: 2016-06-14 20:23
Tematika: Kompiuterija
Skirta: Pradedantiems
Autorius: Jonas Bunevičius
Aut. teisės: ©Technologijos.lt
Inf. šaltinis: Technologijos.lt

Kas­dien ieš­ko­me in­for­ma­ci­jos, ren­gia­me do­ku­men­tus, nau­do­ja­mės ban­kais, ben­drau­ja­me, pra­mo­gau­ja­me… Žmo­nės tai da­ro jau ne vie­ną šimt­me­tį. Vis dėlto, per pas­ta­ruo­sius ke­le­tą de­šimt­me­čių šių veik­lų at­li­ki­mo ­bū­das pa­si­kei­tė kar­di­na­liai. Ir la­biau­siai už tai rei­kė­tų dė­ko­ti Tim Berners-Lee. Šis ang­lų moks­li­nin­kas dar 1989 me­tais pa­siū­lė pa­sau­li­nio tink­lo WWW (angl. World Wide Web) plėt­ros idė­ją ir vi­zi­ją.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Kas­dien ieš­ko­me in­for­ma­ci­jos, ren­gia­me do­ku­men­tus, nau­do­ja­mės ban­kais, ben­drau­ja­me, pra­mo­gau­ja­me… Žmo­nės tai da­ro jau ne vie­ną šimt­me­tį. Vis dėlto, per pas­ta­ruo­sius ke­le­tą de­šimt­me­čių šių veik­lų at­li­ki­mo ­bū­das pa­si­kei­tė kar­di­na­liai. Ir la­biau­siai už tai rei­kė­tų dė­ko­ti Tim Berners-Lee. Šis ang­lų moks­li­nin­kas dar 1989 me­tais pa­siū­lė pa­sau­li­nio tink­lo WWW (angl. World Wide Web) plėt­ros idė­ją ir vi­zi­ją.

Šis sumanymas kartu su HTTP (angl. HyperText Transfer Protocol) protokolu tapo itin svarbiu šiuolaikinio pasaulinio interneto tinklo kūrimo elementu. Būtent jie ir pradėjo pokyčius, per kitus 27 metus nuolatos skatinusius visuomenę keltis į skaitmeninę erdvę. Atrodo, šį pasiūlymą priėmėme, kadangi kompiuterių ir interneto tinklais kasmet persiunčiame vis daugiau duomenų.

Šie informacijos mainų pobūdžio pokyčiai, žinoma, kelia naujus iššūkius tinklų inžinieriams. Ir didžioji dalis tų iššūkių atsiranda dėl sparčiai augančio poreikio keistis privačia bei itin suasmeninta informacija. Be abejonės, reikalingi saugos mechanizmai buvo apgalvoti ir sukurti dar tuomet, kai kibernetinio saugumo problemos nebuvo tokios aktualios. Tačiau vien saugumo protokolų sumanytojai saugumo internete užtikrinti tikrai negali – jiems reikia visų mūsų pagalbos.

Šiuo metu įvairias paslaugas, žiniasklaidos tinklalapius, elektroninį paštą ar socialinius tinklus dažniausiai pasiekiame interneto naršykle. Jos prie tinklalapių gali jungtis tiek saugiai, naudodamos HTTPS (angl. Hyper Text Transfer Protocol Secure ) protokolą, tiek ir seniau sukurtą HTTP protokolą, kuriame saugumo mechanizmų, deja, nėra. HTTPS naudoti kiekviename žingsnyje kol kas tikrai nebūtina, tačiau kada HTTP protokolo reikėtų vengti, taip pat vertėtų suprasti. HTTP protokolo naudojimo pavojai

Įvairius techninius niuansus palikus nuošalyje, HTTP protokolą galima traktuoti tiesiog kaip tam tikrą taisyklių rinkinį. Remiantis šiuo standartizuotu taisyklių rinkiniu, internetu galima persiųsti ne tik tekstą, bet ir grafinį turinį, vaizdo įrašus, garsą bei kitą skaitmeninę informaciją.

Šiuolaikinės interneto naršyklės specialios metodikos identifikuoti HTTP protokolo susijungimui nenumato. Vis dėlto čia svarbu suprasti, kad bet kuri nuoroda internete prasidedanti prierašu http:// yra aiški žyma, kad bet kokiai informacijai parsisiųsti bus naudojamas HTTP protokolas. Šiuo metu dažniausiai tokių nuorodų netrūksta piktavalių (neretai apsimetančių draugais) siunčiamuose elektroniniuose laiškuose.

Jungiantis prie internetinio tinklalapio HTTP protokolu, interneto naršyklei tereikia išsiaiškinti serverio IP adresą, kuriame atitinkamas vartotojo pareikalautas tinklalapis yra talpinamas. Tačiau tokie informacijos mainai su nutolusiu serveriu vartotojui nesuteikia jokio grįžtamojo ryšio, kuriuo būtų galima įvertinti susijungimo saugumą. Tad, pirma, vartotojas negali būti tikras, kad pateko į tikrąjį tinklalapį. Antra, kiekvienas informacijos apsikeitimo ciklas su serveriu vyksta naudojant grynąjį tekstą (angl. plain text ).

Toks HTTP protokolo veikimo principas, be abejonės, turi saugumo spragų. Ir per šias spragas piktavaliai gan paprastai gali pasisavinti trečiųjų šalių konfidencialius duomenis. Jeigu pirmuoju minėtu būdu savo asmeninę informaciją internautas piktavaliui gali perduoti tiesiog ją pats suvesdamas tinklalapyje, tai antruoju atveju konfidenciali informacija gali būti pasisavinta, pavyzdžiui, jungiantis prie interneto tinklo viešose vietose.

Tai puikiai paaiškina, kodėl bankai ar bet kuri kita asmeninius konfidencialius duomenis administruojanti bendrovė primygtinai reikalauja neatidarinėti elektroniniuose laiškuose siųstų internetinių nuorodų. Nors siuntėjas bei jo laiške pateikiama informacija atrodo labai įtikinamai, tačiau dažniausiai tai tiesiog būna piktavalio inicijuota fišingo (angl. phishing) ataka.

Jos nukreipia internautą į tinklalapį, kuris iš pažiūros atrodo lygiai taip pat kaip ir tikrasis banko ar kokios kitos asmeninius duomenis naudojančios įstaigos tinklalapis. Vis dėlto, jame suvedus savo asmeninius duomenis, prie sistemos prisijungti nepavyks. Po kelių įtikinamų klaidos pranešimų, savo duomenis suvedęs vartotojas tiesiog nuspręs prie sistemos pabandyti prisijungti vėliau. Tačiau blogiausia, kad gavėją, t. y. piktavalį, šių bandymų metu suvesta konfidenciali informacija pasieks.

Kadangi HTTP protokolas nenaudoja jokių šifravimo mechanizmų, prisijungimo slaptažodžius piktavalis net ir be fišingo atakos gali gauti, tiesiog prisijungdamas prie to paties tinklo. Būtent taip programišiai gali nesunkiai peržiūrėti interneto tinklu iki serverių keliaujančius konfidencialius duomenis. Kitaip sakant, net jeigu vedamas slaptažodis kompiuterio ekrane nerodomas, tai nereiškia, kad jo negali pamatyti bet kuris kompiuterių tinklo dalyvis.

Saugos problemų sprendimas: HTTPS protokolas

Vis dažniau kalbama, kad HTTPS saugos mechanizmai šiuolaikiniams kibernetiniams nusikaltėliams nėra neįveikiami. Tačiau praktika rodo, kad kol kas išgauti konfidencialią informaciją, pasinaudojant HTTPS protokolo netobulumu, realaus pagrindo nėra. Tiesiog tai per daug pastangų reikalaujantis procesas, todėl piktavaliams kur kas racionaliau pasitelkti, pavyzdžiui, socialinę inžineriją.

Iš pažiūros, HTTPS protokolo paskirtis tokia pati kaip ir HTTP. Vis dėlto, be įprasto informacijos persiuntimo, HTTPS dar pasirūpina ir persiunčiamų duomenų šifravimu bei dešifravimu. Tai gali būti realizuojama, su HTTPS naudojant kriptografinį SSL (angl. Secure Sockets Layer ) arba TLS (angl. Transport Layer Security ) protokolą. Nors techniniu požiūriu dabar saugus ryšys beveik visada būna sudaromas per TLS, tačiau visuomenėje dažniau naudojamas SSL terminas. Siekiant didesnio aiškumo, jis kartais pavadinamas SSL/TLS.

Kad ir koks būtų HTTPS kriptografinis protokolas, duomenų autentiškumui, integralumui, saugumui bei konfidencialumui garantuoti vis tiek naudojama viešojo rakto infrastruktūra PKI (angl. Public Key Infrastructure) bei skaitmeniniai sertifikatai. Būtent taip užtikrinamas siunčiamos informacijos šifravimas, todėl pašaliniam stebėtojui ji atrodo kaip beprasmiškų informacijos bitų kratinys. Tačiau galutinis šių duomenų gavėjas, naudodamas specialų dešifravimo raktą, pirminio siuntėjo informaciją mato tinkamai.

Šių HTTPS protokolo saugos mechanizmų visiškai pakanka anksčiau aptartų HTTP protokolo saugumo problemų sprendimui. Kitaip sakant, HTTPS padeda įsitikinti serverio, su kuriuo ruošiamasi bendrauti, tikrumu, ir garantuoja, kad siunčiamą informaciją supras tik siuntėjas ir gavėjas.

Kaip įsitikinti, kad HTTPS sujungimas saugus?

Gali atrodyti, kad naršymui internete naudojant HTTPS protokolą, šis automatiškai užtikrina konfidencialių duomenų saugumą. Deja, kad ir kaip visi norėtų sukurti tokį kibernetinio saugumo modelį, kol kas tokia siekiamybė neįgyvendinama. Ir taip yra dėl to, nes informacijos saugą telekomunikaciniuose ir kompiuteriniuose tinkluose taip pat lemia ir žmogiškasis faktorius. Būtent dėl to kiekvienam internautui pravartu susipažinti su svarbiausiais HTTPS susijungimo autentiškumo ir saugumo rodikliais.

Kaip ir HTTP protokolo atveju, tai taip ir naudojant HTTPS, susijungimo tipą galima nustatyti pagal prierašą internetinės nuorodos pradžioje. Susijungimui naudojant HTTPS protokolą, nuorodos pradžioje visuomet būna naudojama papildoma https:// žyma. Jeigu HTTP protokolo atveju prierašas http:// dažniausiai neatvaizduojamas, tai naudojant HTTPS protokolą papildoma žyma https:// būna matoma praktiškai visose populiariausiose interneto naršyklėse, o esant saugiam susijungimui, ji dar netgi būna pažymima žalia spalva.

Atidžiau pasižiūrėjus, prie konkrečios nuorodos interneto naršyklėje taip pat galima pastebėti ir spynos piktogramą. Ši taip pat yra vienas iš skiriamųjų HTTPS protokolo naudojimo ženklų. Kartais šalia spynos piktogramos gali būti rašomas ir bendrovės ar įstaigos, prie kurios tinklalapio jungiamasi, pavadinimas.

Tai yra aiškios nuorodos, kad susijungimas HTTPS protokolu yra saugus ir vykdomas su patikimu serveriu. Šį grįžtamąjį ryšį apie tinkamą susijungimą vartotojui įmanoma pateikti, naudojant SSL skaitmeninius sertifikatus. Sertifikatai tinklalapiams prie kurių nuorodos rašomas ir jau minėtas įmonės ar bendrovės pavadinimas, išduodami, taikant dar griežtesnius reikalavimus. Šiuos EV (angl. Extended Validation ) SSL tipo sertifikatus, siekdami pagrįsti savo tapatybę, labai dažnai naudoja bankams priklausantys tinklalapiai.

Prieš pradedant susijungimą HTTPS protokolu, serveris užklausą pateikusiam vartotojui visų pirma atsiunčia savo tapatybę patvirtinantį sertifikatą. Jame būna nurodomas sertifikato savininkas, jo galiojimo periodas, jį išdavusios institucijos pavadinimas bei kita svarbi informacija. Jeigu interneto naršyklė nustato, kad apie atitinkamą SSL sertifikatą savo duomenų bazėje ji neturi jokios informacijos ar šie duomenys nesutampa, toks HTTPS susijungimas iš karto bus interpretuojamas kaip nesaugus.

Apie tai interneto naršyklė vartotoją informuoja raudonai perbraukdama https:// užrašą. Be to, vartotojas tokiu atveju apie potencialų saugos trūkumo pavojų taip pat būna pakartotinai informuojamas papildomu pranešimu monitoriaus ekrane. Kitaip sakant, prieš patekdamas į tokį puslapį, jis privalo patvirtinti savo pasirinkimą, kadangi kitu atveju interneto naršyklė tinklalapio su netinkamu SSL sertifikatu tiesiog neįkels.

Toks netinkamo sertifikato ignoravimas gali padėti užkirsti kelią piktavalio inicijuojamai atakai. Vis dėlto Lietuvoje kartais gerai žinomos įmonės naudoja nuosavus SSL sertifikatus, kurie viešo pripažinimo internetinėje erdvėje, deja, neturi. Tokiu atveju tiesiog reikėtų sukurti saugumo išimtį ir toliau naudotis atitinkamu tinklalapiu, tačiau čia svarbu suprasti, kad šiuo atveju HTTPS protokolo sauga jau nėra tokia patikima. Kitaip sakant, potenciali rizika vietoje įmonės tikrojo SSL sertifikato kada nors parsisiųsti programišiaus pakištą sertifikatą egzistuoja praktiškai kiekvienos komunikacijos su serveriu metu.

Kaip elgtis HTTP tinklalapiuose, kurie turi vartotojų prisijungimo zoną

Kol kas prisijungimas prie visų tinklalapių naudojant tik HTTPS protokolą tikrai nėra būtinas. Pavyzdžiui, kartais HTTP protokolą yra parankiau naudoti dėl spartos, kadangi HTTPS kriptografiniai mechanizmai papildomą apkrovą sukuria ne tik serveriui, bet ir vartotojui. Be to, reikia nepamiršti, kad siekiant kontroliuoti išduodamus SSL sertifikatus, jie yra mokami. Tai puiki bereikšmių skaitmeninių sertifikatų išdavimo ribojimo priemonė, tačiau kartais tai gali tapti pagrindine priežastimi, kodėl pelno nenešantys/nesiekiantys tinklalapiai HTTPS protokolo naudoti nesiryžta.

Trumpai tariant, HTTPS protokolas nebūtinas, kai interneto puslapį galima naudoti, neprisijungus prie paskyros. Tačiau vis daugiau tinklalapių personalines paskyras turi, bet kol kas HTTPS protokolo vis tiek nenaudoja. Tas galioja net ir įprastiems žiniasklaidos informacinėms svetainėms, vis dažniau siūlančioms personalizuotą vartotojo zoną ar netgi mokamas paslaugas.

Kadangi dauguma vartotojų įpratę visur naudoti tuos pačius prisijungimo duomenis, šiuo atveju kur kas racionaliau HTTP tinklalapiams rinktis ne tik kitą slaptažodį, bet taip pat ir kitą prisijungimo vardą. Taip elgdamasis, vartotojas akivaizdžiai vertina savo paties saugumą, kadangi programišius, išgavęs tokius prisijungimo duomenis, jų negalės panaudoti bandydamas prisijungti, pavyzdžiui, prie e. pašto ar kitų, kur kas privatesnių paslaugų.


Technologijos.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

TMS ELECTRONICS
TMS ELECTRONICS

www.rslietuva.com – nemokamas elektronikos komponentų pristatymas

www.matuok.lt - Interneto spartos matavimo sistema

Lietuvos mokinių neformaliojo švietimo centras

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Technologijos.lt

Mokslo festivalis „Erdvėlaivis Žemė

www.esaugumas.lt – apsaugok savo kompiuterį!

LTV.LT - lietuviškų tinklalapių vitrina

www.rrt.lt – Lietuvos Respublikos ryšių reguliavimo tarnyba

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

MRO Supply


Reklama
‡ 1999–2019 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Farming Simulator 2017 Mods, FS 17 Mods
ls2017.com
„TV programa“ – tiksli
televizijos programa

www.tvprograma.lt
Lietuvos mokinių neformaliojo švietimo centras
www.lmnsc.lt
Buhalterijos kursai, apskaitos kursai, vadovų apskaitos kursai
www.apskaitakiekvienam.lt
Svarstyklės – čia, matuokliai, laboratorinė įranga
www.moris.lt
Lyderystės mokymai, mokymai vadovams, vadovų mokymai
www.tripleo.lt
Mokslo ir technologijų pasaulis – naujienos ir straipsniai
www.technologijos.lt
Farming Simulator 2019 Mods, FS19 Tractors, FS19 Maps
farmingsimulator19mods.fr
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
LTV.LT – geriausių lietuviškų tinklalapių katalogas
www.ltv.lt/technologijos/
FS 2019 Mods, FS 2017 Mods, FS 2015 Mods
www.farming2015mods.com
Mokslo populiarinimo projektas „Mokslas verslui ir visuomenei“
www.mokslasplius.lt
Reklama


Reklama