Преимущества протокола HTTPS

Перевел свой блог на протокол HTTPS. Теперь адреса страниц начинаются с https://. Хорошее нововведение, которое должно быть на каждом сайте.

К сожалению, протоколу HTTPS приписывают чудодейственные свойства, которых у него в принципе нет.

Обычный HTTP легко прослушать

Когда вы открываете сайт, адрес которого начинается на http://, компьютер словно кричит в толпе:

«Эй, сайт автозапчастей! Логин Юзер381, пароль один-два-три! Оставь комментарий к товару: …»

Услышат все, у кого есть уши:

  • ваш браузер,
  • вирусы на ПК,
  • другие компьютеры в домашней сети (к бесплатному WiFi в кафе тоже относится),
  • вирусы в роутере,
  • провайдер,
  • промежуточные сервера,
  • сервер, на котором размещен сайт.

Когда на кассе расплачиваетесь карточкой, вы сообщаете окружающим свой ПИН-код? Думаю, нет. Вы прикрываете кнопки рукой. Шифровать запросы HTTP тоже нужно. Для этого нужен HTTPS — HyperText Transfer Protocol Secure и цифровые сертификаты

HTTPS — не стопроцентная защита безопасности

Не буду углубляться в математические дебри, чтобы объяснить принцип работы защищенных соединений.

Статьи для тех, кто хочет понять больше.

О том, почему всем вебмастерам нужно переходить на HTTPS, предельно доступно рассказали гугловцы Андрей Липатцев и Мария Моева:

На 19-й минуте Мария сравнивает HTTPS с конвертом. Когда кто-то подменит сертификаты, чтобы посмотреть, что вы там передаете и (если надо) показать свой вариант страничек, конверт вскроется и вы это увидите. HTTP можно сравнить с открыткой — любой может открыть и посмотреть, кого и с чем поздравляют, а затем незаметно сложить обратно.

Используем HTTPS правильно

Вы — посетитель. Вам не хочется углубляться в заросли сертификатов и ключей шифрования. Но хочется защищенности. Что для этого сделать?

Проверяйте адрес

Поглядывайте на адресную строку. Адрес должен быть без опечаток. О работе HTTPS сообщит цвет значка.

Если у вас нарушение цветовосприятия, можно щелкнуть по значку, чтобы увидеть текстовую подсказку («Подключение к веб-сайту защищено»).

В браузере Google Chrome щелчок по надписи https:// откроет много дополнительной информации:

HTTPS на сайте работает
HTTPS на сайте работает

В Mozilla Firefox все проще:

В Mozilla Firefox по умолчанию отображается меньше информации
В Mozilla Firefox по умолчанию отображается меньше информации

В остальных браузерах аналогично.

К сожалению, HTTPS — не гарантия безопасности. Вашу информацию все равно можно похитить. Для этого нужно перехватить запросы между вами и сервером сайта. Отсюда и название атаки — MiTM, Man in The Middle, «человек посередине».

Преимущества протокола HTTPS 2

К счастью, это можно увидеть. Сила HTTPS в том, что сертификат (грубо говоря, пароль) для шифрования можно удостоверить одним из центров выдачи сертификатов. При этом сертификат может получить только владелец сайта. Поэтому браузер может отличить настоящий сайт от поддельного.

Подписанные вручную сертификаты (их еще называют самоподписанными) не будут удостоверены никогда. Если при открытии сайта по HTTPS браузеры видят, что сертификат не удостоверен, то выводят предупреждение. Которые многие игнорируют…

Например, если кто-то решит собрать логины и пароли пользователей Вконтакте, он может бесплатно раздать WiFi в людном месте, подменяя подключившимся пользователям сайт Вконтакте. Если кто-то наберет vk.com, он попадет на HTTP версию и разницы не заметит, пароль достанется злоумышленнику. Зато при попытке открыть https://vk.com браузер предупредит:

MiTM

Такое может случиться не только в бесплатной сети. В октябре 2014 года китайские пользователи обнаружили, что кто-то подменяет сайт iCloud от Apple. Еще ранее — HTTPS версию популярного сайта GitHub. То есть вполне возможен сценарий, что сайт подменят на уровне всей страны.

Может ли не владелец сайта удостоверить сертификат? Надеюсь, нет. Но зарекаться не стоит.

Очистите браузеры от рекламных расширений

Что будет, если на HTTPS-странице подгрузится элемент по HTTPS протоколу? Ничего хорошего.

Серый текст сообщает о наличии смешанного контента
Серый текст сообщает о наличии смешанного контента

Переданное по HTTPS содержимое перехватить по-прежнему нельзя, но небезопасные элементы (картинки, например) отследить можно.

Добавлять постороннее содержимое очень любят всякие рекламные тулбары, шпионские расширения для браузеров. Эта дрянь никому, кроме их создателей, не нужна, поэтому почистите компьютер и браузер с помощью AdwCleaner.

Смешанный контент на отдельных сайтах говорит о безалаберности их разработчиков. Можно сообщить им о проблеме и надеяться, что ссылки в коде страниц поправят.

Установите HTTPS Everywhere

По ряду технических причин нельзя сделать так, чтобы при ввода адреса по умолчанию открывалась сразу HTTPS-версия сайта. Придется решать проблему самим.

Расширение HTTPS Everywhere (версии для Chrome, Firefox, Opera) принудительно перенаправляет сайты на защищенные версии. Пользуйтесь!

Итог

Хотел похвастаться тем, что перевел свой блог на безопасный протокол, но вышла, как всегда, инструкция. Надеюсь, полезная.

2 комментариев

  1. draskold

    Димас, ты все четко пишешь. Четко, а главное — понятно. Я приперся сюда сегодня, гугля «directX понятными словами», и, пожалуй, вобью тебя в букмарки

    Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *