Tā kā pēdējā laikā ziņās ir tik daudz nopietnu datu pārkāpumu, jums varētu rasties jautājums, kā tiek aizsargāti jūsu dati, kad esat tiešsaistē. Kad dodaties uz vietni, lai iepirktos un ievadītu savas kredītkartes numuru, cerams, ka pēc dažām dienām pie jūsu durvīm pienāk paciņa. Bet tajā brīdī, pirms nospiežat Pasūtīt, vai vēlaties uzzināt, kā darbojas tiešsaistes drošība?
Tiešsaistes drošības pamati
Pamatformā tiešsaistes drošība - drošība, kas notiek starp datoru un vietni - tiek nodrošināta, izmantojot virkni jautājumu un atbilžu. Jūs pārlūkprogrammā ierakstāt tīmekļa adresi, un pēc tam pārlūkprogramma lūdz vietni pārbaudīt tās autentiskumu. Vietne atbild ar atbilstošu informāciju, un pēc tam, kad abi piekrīt, vietne tiek atvērta tīmekļa pārlūkprogrammā.
Starp uzdotajiem jautājumiem un informācijas apmaiņai ir dati par šifrēšanas veidu, kas nodod pārlūkprogrammas informāciju, datora informāciju un personisko informāciju starp pārlūkprogrammu un vietni. Šos jautājumus un atbildes sauc par rokasspiedienu. Ja rokasspiediens nenotiek, vietne, kuru mēģināt apmeklēt, tiek uzskatīta par nedrošu.
HTTP pret
- Atvērts, lai ikviens to varētu redzēt pa ceļam.
- Vieglāk iestatīt un palaist.
- Nav drošības parolēm un iesniegtajiem datiem.
-
Pilnībā šifrēts, lai paslēptu informāciju.
- Nepieciešama papildu servera konfigurācija.
- Aizsargā pārsūtīto informāciju, tostarp paroles.
Viena lieta, ko varat pamanīt, apmeklējot vietnes tīmeklī, ir tāda, ka dažu vietņu adrese sākas ar http, bet dažu sākas ar https. HTTP nozīmē hiperteksta pārsūtīšanas protokols; tas ir protokols vai vadlīniju kopa, kas nosaka drošu saziņu internetā.
Dažās vietnēs, īpaši vietnēs, kurās jums tiek lūgts sniegt sensitīvu vai personu identificējošu informāciju, https var tikt rādīta zaļā vai sarkanā krāsā ar līniju caur to. HTTPS nozīmē drošu hiperteksta pārsūtīšanas protokolu, un zaļā krāsa nozīmē, ka vietnei ir pārbaudāms drošības sertifikāts. Sarkans ar līniju caur to nozīmē, ka vietnei nav drošības sertifikāta vai sertifikāts ir neprecīzs vai beidzies derīguma termiņš.
Šeit lietas kļūst nedaudz mulsinošas. HTTP nenozīmē, ka dati, kas tiek pārsūtīti starp datoru un vietni, ir šifrēti. Tas nozīmē tikai to, ka vietnei, kas sazinās ar pārlūkprogrammu, ir aktīvs drošības sertifikāts. Tikai tad, ja ir iekļauts S (kā S), pārsūtītie dati ir droši, un tiek izmantota cita tehnoloģija, kas padara šo drošu apzīmējumu. iespējams.
SSL pret TLS
- Sākotnēji izstrādāts 1995. gadā.
- Agrāks tīmekļa šifrēšanas līmenis.
- Atpaliek no strauji augošā interneta.
- Sākta kā trešā SSL versija.
- Transporta slāņa drošība.
- Turpināja uzlabot SSL izmantoto šifrēšanu.
- Pievienoti drošības labojumi jauna veida uzbrukumiem un drošības caurumiem.
SSL bija sākotnējais drošības protokols, lai nodrošinātu, ka vietnes un starp vietnēm pārsūtītie dati ir droši. Saskaņā ar GlobalSign, SSL tika ieviests 1995. gadā kā versija 2.0. Pirmā versija (1.0) nekad nav nonākusi publiskajā domēnā. Versija 2.0 tika aizstāta ar versiju 3.0 gada laikā, lai novērstu protokola ievainojamības.
1999. gadā tika ieviesta cita SSL versija ar nosaukumu Transport Layer Security (TLS), lai uzlabotu sarunas ātrumu un rokasspiediena drošību. Pašlaik tiek izmantota TLS versija, lai gan vienkāršības labad to bieži dēvē par SSL.
Izpratne par SSL protokolu
- Slēpj informācijas kopu starp datoru un vietni.
- Aizsargā pieteikšanās informāciju.
- Nodrošina pirkumus tiešsaistē.
- Neaizsargā pret visiem draudiem.
- Nevaru jūs aizsargāt vietnēs, kurās netiek izmantots SSL.
- Nevar paslēpt, kuras vietnes apmeklējat.
Ja apsverat iespēju kopīgot rokasspiedienu ar kādu, tas nozīmē, ka ir iesaistīta otra puse. Tiešsaistes drošība ir aptuveni tāda pati. Lai rokasspiediens, kas nodrošina drošību tiešsaistē, notiktu, ir jābūt iesaistītai otrai pusei. Ja HTTPS ir protokols, ko tīmekļa pārlūkprogramma izmanto, lai nodrošinātu drošību, tad šī rokasspiediena otrā puse ir protokols, kas nodrošina šifrēšanu.
Šifrēšana ir tehnoloģija, ko izmanto, lai slēptu datus, kas tiek pārsūtīti starp divām tīkla ierīcēm. Tas tiek panākts, pārvēršot atpazīstamās rakstzīmes par neatpazīstamām muļķībām, kuras var atgriezt sākotnējā stāvoklī, izmantojot šifrēšanas atslēgu. Sākotnēji tas tika paveikts, izmantojot tehnoloģiju, ko sauc par Secure Socket Layer (SSL) drošību.
SSL bija tehnoloģija, kas visus datus, kas pārvietojas starp vietni un pārlūkprogrammu, pārvērta muļķībā un pēc tam atkal datos. Lūk, kā tas darbojas:
- Jūs atverat pārlūkprogrammu un ierakstāt savas bankas adresi.
- Tīmekļa pārlūkprogramma klauvē pie bankas durvīm un iepazīstina ar jums.
- Šveicars pārbauda, vai jūs esat tas, par kuru uzdodat sevi, un piekrīt ielaist jūs, ievērojot noteiktus nosacījumus.
- Tīmekļa pārlūkprogramma piekrīt šiem nosacījumiem, un tad jums ir atļauts piekļūt bankas vietnei.
Process atkārtojas, kad ievadāt lietotājvārdu un paroli, veicot dažas papildu darbības.
- Jūs ievadāt savu lietotājvārdu un paroli, lai piekļūtu savam kontam.
- Jūsu tīmekļa pārlūkprogramma paziņo bankas konta pārvaldniekam, ka vēlaties piekļūt savam kontam.
- Viņi sarunājas un piekrīt, ka, ja varēsiet norādīt pareizos akreditācijas datus, jums tiks piešķirta piekļuve. Tomēr šie akreditācijas dati ir jāuzrāda, izmantojot īpašu valodu.
- Tīmekļa pārlūkprogramma un bankas konta pārzinis piekrīt valodai, kas tiks izmantota.
- Tīmekļa pārlūkprogramma pārvērš jūsu lietotājvārdu un paroli šajā īpašajā valodā un nodod to bankas konta pārvaldniekam.
- Konta pārvaldnieks saņem datus, atkodē tos un salīdzina tos ar saviem ierakstiem.
- Ja jūsu akreditācijas dati atbilst, jums tiek piešķirta piekļuve jūsu kontam.
Process notiek nanosekundēs, tāpēc jūs nepamanāt laiku, kas nepieciešams sarunai un rokasspiedienam starp tīmekļa pārlūkprogrammu un vietni.
TLS šifrēšana
- Drošāka šifrēšana.
- Paslēpj datus starp datoru un vietnēm.
- Labāks rokasspiediena process sarunās par šifrētu saziņu.
- Neviena šifrēšana nav perfekta.
- Nenodrošina automātiski DNS.
- Nav pilnībā savietojams ar vecākām versijām.
TLS šifrēšana tika ieviesta, lai uzlabotu datu drošību. Lai gan SSL bija laba tehnoloģija, drošība strauji mainās, un tāpēc radās nepieciešamība pēc labākas, mūsdienīgākas drošības. TLS tika izveidots, pamatojoties uz SSL, ar uzlabojumiem algoritmos, kas regulē sakaru un rokasspiediena procesu.
Kura TLS versija ir visjaunākā?
Tāpat kā SSL gadījumā, TLS šifrēšana ir turpinājusi uzlaboties. Pašreizējā TLS versija ir 1.2, taču ir izstrādāta TLSv1.3 versija, un daži uzņēmumi un pārlūkprogrammas šo drošību ir izmantojuši īsu laiku. Vairumā gadījumu tie tiek atjaunoti uz TLSv1.2, jo versija 1.3 joprojām tiek pilnveidota.
Pēc pabeigšanas TLSv1.3 nodrošinās daudzus drošības uzlabojumus, tostarp uzlabotu atbalstu jaunākiem šifrēšanas veidiem. Tomēr TLSv1.3 pārtrauks atbalstu arī vecākām SSL protokolu versijām un citām drošības tehnoloģijām, kas vairs nav pietiekami izturīgas, lai nodrošinātu pareizu personas datu drošību un šifrēšanu.
