HTTP nozīmē Hyper Text Transfer protokolu un tiek plaši izmantots internetā. Sākotnējos interneta laikos bija labs šis protokols, lai uzdotu pieteikšanās akreditācijas datus utt., Jo nebija daudz bīstamības, ka cilvēki šūpina jūsu datu paketes, lai nozagtu jūsu pieteikšanās datus dažādām vietnēm. Kad cilvēki jutās par briesmām, tika izgudrots HTTPS (HTTP Secure), kas šifrē datu apmaiņu starp jums (klients) un vietni, ar kuru jūs mijiedarbojat.
Lasīt: Atšķirība starp HTTP un HTTPS.
Pirms dažiem gadiem HTTPS tika uzskatīts par neprognozējamu, kamēr persona, kuras nosaukums Moxie, nepareizi parādījās, izmantojot uzliesmojošu HTTPS. Tas tika darīts, izmantojot datu pārraides paketu pārtveršanu saziņas vidū ar kādu, kurš surogāt ar HTTPS drošības atslēgu, lai jūs uzskatāt, ka savienojums joprojām tiek šifrēts. Šis raksts pētīts HTTPS spoofing kur pat labi pazīstami uzņēmumi izmantoja tehniku, lai jūs skatītos un snoop uz jūsu darbībām. Pirms izpratnes Cilvēks vidējā uzbrukumā, jums būs jāzina par HTTPS sertifikāta atslēgu, kas ir nepareiza, lai jūs uzskatāt, ka nekas nav nepareizs.
Kas ir HTTPS vietnes sertifikāta atslēga
Ir dažas sertifikātu iestādes, kas tīmekļa vietnēm piedāvā "fitnesa" sertifikātus. Lai noteiktu "fitnesa" faktoru, ir daudz faktoru: šifrēts savienojums, bezsaistes lejupielāde un dažas citas lietas. HTTPS nozīmē, ka jūsu dati ir droši darījumos. Galvenokārt HTTPS tiek izmantoti e-komercijas veikalos un vietnēs, kurās ir privāti dati / informācija, piemēram, e-pasta vietnes. Sociālie tīkli, piemēram, Facebook un Twitter, arī izmanto HTTPS.
Katram sertifikātam ir atslēga, kas ir unikāla šai vietnei. Jūs varat apskatīt tīmekļa vietnes sertifikāta atslēgu, ar peles labo pogu noklikšķinot uz tās tīmekļa lapas un atlasot PAGE INFO. Pamatojoties uz pārlūku, jūs saņemsit dažādu veidu dialoglodziņus. Meklējiet SERTIFIKĀTU un tad THUMBPRINT vai FINGERPRINT. Tas būs mājas sertifikāta unikālā atslēga.
HTTPS drošības un spoofing
Atgriežoties pie tā, cik droši jūs esat ar HTTPS, klienta un tīmekļa vietņu vidū sertifikāta atslēgu var maldināt trešās puses. Šo paņēmienu, kas balstās uz jūsu sarunām, sauc Cilvēks vidū.
Tālāk ir norādīts, kā jūsu pārlūkprogramma tiek nosūtīta uz HTTPS: vai nu jūs noklikšķiniet uz pogas LOGIN / saites vai arī jūs ievadāt URL. Pirmajā gadījumā jūs tiekat nosūtīts tieši HTTPS lapā. Otrajā gadījumā, ja jūs rakstāt URL, ja neesat ievadījis HTTPS, DNS tiks atrisināts uz lapu, kas novirza jūs uz HTTPS lapu, izmantojot automātisko novirzīšanu (302).
Cilvēkam vidū ir noteiktas metodes, kā noķert jūsu pirmo pieprasījumu piekļūt vietnei, pat ja jūs esat ievadījis HTTPS. Cilvēks vidū varētu būt jūsu pārlūks. Opera Mini un BlackBerry pārlūkprogrammas to dara, lai no sākuma sazinātos un tos atšifrētu, lai tos varētu saspiest ātrākai pārlūkošanai. Šī metode ir nepareiza - manuprāt, tā kā tas atvieglo noklausīšanos, bet tad uzņēmumi apgalvo, ka nekas nav reģistrēts.
Ievadot URL, noklikšķiniet uz saites vai grāmatzīmes, jūs lūdzat pārlūkprogrammai izveidot savienojumu (vēlams) ar drošu tīmekļa vietnes versiju. Cilvēks vidū rada viltotu sertifikātu, kuru ir grūti identificēt kā kļūdainu, jo vietņu sertifikāti ir vienādi un neatkarīgi no sertifikāta izsniedzējas iestādes. Cilvēks Tuvumā veiksmīgi pārveido sertifikātu un izveido THUMBPRINT, kas tiek pārbaudīts pret "sertifikātu iestādēm, kuras jūsu pārlūkprogramma jau paļaujas". Tas nozīmē, ka sertifikāts ir izsniegusi uzņēmums, kas tiek pievienots jūsu pārlūkprogrammu uzticamo sertifikātu iestāžu sarakstam. Tas liek domāt, ka sertifikāta atslēga ir derīga un sniedz šifrēšanas datus Tuvo vidu. Tādējādi vīrietim, kas atrodas vidū, tagad ir atslēga, lai atšifrētu informāciju, kuru jūs sūtāt, izmantojot šo savienojumu. Ņemiet vērā, ka cilvēks vidū darbojas arī otrā pusē, sūtot informāciju uz tīmekļa vietni - patiesi, bet tā, lai to varētu izlasīt.
Tas izskaidro vietnes HTTPS spoofing un to, kā tā darbojas. Tas arī norāda, ka HTTPS nav pilnībā droša. Ir daži rīki, kas ļaus mums zināt, ka vidū ir cilvēks, ja vien viens nav augsti kvalificēts datoru eksperts. Parastajam cilvēkam GRC tīmekļa vietne piedāvā metodi, lai izgūtu THUMBPRINT. Jūs varat pārbaudīt sertifikātu THUMBPRINT GRC un pēc tam saskaņot to ar to, kuru esat izgājis, izmantojot PAGE INFO. Ja tie sakrīt, tas ir labi. Ja viņiem tas nav, vidū ir cilvēks.
