Так работает расширение HTTPS. Все больше и больше провайдеров в сети прилагают усилия, чтобы предоставить пользователям Интернета безопасный доступ к онлайн-контенту. Всемирная паутина установила протокол шифрования TLS (Transport Layer Security). Он получил большую известность благодаря своему предшественнику SSL (Secure Sockets Layer). Хотя соединения с веб-сайтами по протоколу HTTP (протокол передачи гипертекста) не зашифрованы, сетевой протокол HTTPS (протокол передачи гипертекста Secure или протокол передачи гипертекста по SSL / TLS) обеспечивает шифрование SSL / TLS, что позволяет повысить безопасность трафика в Интернете. формировать.
Интернет-гигант Google также подает хороший пример, предлагая своим часто посещаемым веб-сервисам исключительно SSL / TLS-шифрование. С августа 2014 года HTTPS также был включен в качестве фактора ранжирования в алгоритм органического веб-поиска. Это значительно повысило актуальность транспортного шифрования на основе SSL / TLS для операторов веб-сайтов. Однако HTTPS не обеспечивает надежной защиты в стандартной конфигурации. Снова и снова ИТ-специалисты обнаруживают дыры в безопасности. Основными угрозами являются атаки «человек посередине» , которые позволяют хакерам взломать шифрование SSL / TLS. Только с 2012 года HSTS является механизмом безопасности для соединений HTTPS доступно, что предотвращает атаки такого рода.
Редакция рекомендует: Что такое веб-приложение. Определение и примеры веб-приложений
Если веб-сайт вызывается с использованием сетевого протокола HTTPS и надежного сертификата SSL / TLS, этот тип транспортного шифрования в основном безопасен. Однако в прошлом неоднократно совершались атаки на органы по сертификации, в результате чего в обращении находилось большое количество небезопасных сертификатов. Кроме того, широко распространенные привычки использования и общая небрежность при работе с зашифрованными соединениями обеспечивают многочисленные цели для фишинговых атак и атак “человек посередине”.
Перенаправление с HTTP на HTTPS
Интернет-пользователи редко вводят URL-адреса полностью. Вместо этого интернет-адреса сокращаются до их домена. Сетевой протокол HTTPS, обеспечивающий шифрованное соединение, теряется. Введенные пользователя Интернета, например, вместо https: // example.com только example.com в адресной строке браузера, он автоматически добавляет очевидное как URL для интерпретации запроса к стандартному сетевому протоколу для сайта просмотров: HTTP – example.com -> http: // example.com
Если целевая страница является зашифрованным веб-сайтом, это будет только HTTP-перенаправление на стороне сервера в HTTPS – http: // example.com -> https: // example.com
Таким образом, хотя в конечном итоге зашифрованное соединение создается, обходной путь через незашифрованный URL дает хакерам возможность позиционировать себя ранее незаметным как посредник между браузером и сервером. В этом случае весь трафик данных может быть прочитан в виде открытого текста, без необходимости для злоумышленников нарушить шифрование SSL / TLS. Если целевой страницей является прямой банк или интернет-магазин, эта уязвимость может иметь серьезные последствия для пользователей, которые обрабатывают деньги в Интернете.