HTTPS майже всюди. Так чому ж не захищений Інтернет зараз?
Більшість веб-трафіку в Інтернеті тепер надсилається через з'єднання HTTPS, що робить його “безпечним”. Насправді, Google попереджає, що незашифровані HTTP-сайти - “Not Secure”. Тому чому в Інтернеті все ще є багато шкідливих програм, фішингу та іншої небезпечної діяльності??
“Безпечні” сайти просто мають безпечне з'єднання
Chrome використовував для відображення слова "Безпечний" і зеленого замка в адресному рядку, коли ви відвідували веб-сайт за допомогою HTTPS. Сучасні версії простого Chrome мають невелику сіру піктограму замка, без слова "Secure".
Це частково тому, що HTTPS тепер вважається новим базовим стандартом. За замовчуванням все має бути захищеним, тому Chrome попереджує вас лише про те, що під час доступу до сайту через з'єднання HTTP з'єднання не є безпечним.
Однак слово «Безпечний» теж пішов, тому що воно було трохи оманливим. Схоже, Chrome відповідає за вміст сайту, як якщо б все на цій сторінці було “безпечним”. Але це зовсім не так. «Безпечний» сайт HTTPS може бути заповнений шкідливим програмним забезпеченням або бути підробленим фішинговим сайтом.
HTTPS зупиняє Snooping і втручання
HTTPS є чудовим, але це не просто робить все безпечним. HTTPS означає Hypertext Transfer Protocol Secure. Це як стандартний протокол HTTP для підключення до веб-сайтів, але з шаром безпечного шифрування.
Таке шифрування не дозволяє людям перехоплювати ваші дані під час транзиту, а також припиняє атаки "людина-в-середині", які можуть змінювати веб-сайт, оскільки він надсилається вам. Наприклад, ніхто не може перехоплювати дані про оплату, які ви надсилаєте на веб-сайт.
Коротше кажучи, HTTPS гарантує безпечний зв'язок між вами та цим веб-сайтом. Ніхто не може підслуховувати його або втручатися. Це воно.
Це не означає, що сайт є "безпечним"
HTTPS відмінний, і всі веб-сайти повинні використовувати його. Проте, все це означає, що ви використовуєте безпечне з'єднання з цим веб-сайтом. Слово "Безпечний" нічого не говорить про вміст цього веб-сайту. Все це означає, що оператор веб-сайту придбав сертифікат і налаштував шифрування для забезпечення з'єднання.
Наприклад, небезпечний веб-сайт, повний зловмисних завантажень, може бути доставлений через HTTPS. Все це означає, що веб-сайт і завантажені вами файли надсилаються через безпечне з'єднання, але вони можуть бути не безпечними.
Аналогічним чином, злочинець міг би купити домен типу "bankoamerica.com", отримати сертифікат шифрування SSL і імітувати реальний веб-сайт Bank of America. Це буде фішинговий сайт із "безпечним" замком, але все це означає, що у вас є безпечне з'єднання з цим фішинговим сайтом.
HTTPS все ще велика
Незважаючи на те, що браузери фрази використовувалися роками, сайти HTTPS насправді не є "безпечними". Веб-сайти, які переходять на HTTPS, допомагають вирішити деякі проблеми, але це не закінчується лихом зловмисного програмного забезпечення, фішингу, спаму, атак на вразливі сайти або різні інші шахрайства онлайн.
Перехід до HTTPs все ще великий для Інтернету! Згідно зі статистикою Google, 80% веб-сторінок, завантажених у Chrome на Windows, завантажуються через HTTPS. Користувачі Chrome в ОС Windows витрачають 88% часу перегляду на сайтах HTTPS.
Цей перехід ускладнює переслідування злочинцям щодо персональних даних, особливо на громадських мережах Wi-Fi або інших громадських мережах. Це також значно зводить до мінімуму шанси, що ви зіткнетеся з атакою "людина в середині" на публічному Wi-Fi або іншій мережі.
Наприклад, скажімо, ви завантажуєте файл .exe програми з веб-сайту, коли ви під’єднані до загальнодоступної мережі Wi-Fi. Якщо ви з'єднані з HTTP, оператор Wi-Fi може втрутитися в завантаження і надіслати вам інший, зловмисний файл .exe. Якщо ви підключені до HTTPS, підключення безпечне, і ніхто не може втручатися у завантаження програмного забезпечення.
Це величезна перемога! Але це не срібна куля. Для захисту себе від шкідливих програм, виявлення фішингових сайтів і уникнення інших проблем в Інтернеті потрібно використовувати основні методи безпеки в Інтернеті.
Зображення: Eny Setiyowati / Shutterstock.com.