Использовать HTTP опасно?
Рассмотрим протокол HTTP подробнее, чтобы понять, какую опасность он представляет.
HTTP — расшифровывается как «Hypertext Transfer Protocol» («Протокол передачи гипертекста»). Создан он был ещё в 90-х годах, для обмена данными которые содержали ссылки. Именно наличие протокола показывает принадлежность к Всемирному интернету браузеров и серверов. Обеспечение интернет-безопасности разработчики не продумали, такой задачи просто не стояло. Задачей номер один, было создание единого стандарта, по которому пользователи могли бы использовать сайты онлайн и имели бы доступ к базам данных в каждом уголке Земли.
Но с развитием интернета, примерно в 1990-х, обнаружилась и огромная проблема с использованием HTTP. Популярность некоторых сайтов росла, появилась такая услуга, как интернет-платежи. Чем не преминули воспользоваться преступники. С лёгкостью разрушались сервера с сайтами и похищались личные данные пользователей. И именно протокол HTTP немало посодействовал росту киберпреступности. В чём же заключается уязвимость HTTP?
Устройство протокола HTTP
Представим, что операторы сотовой связи могут слышать любой телефонный разговор в мире и полагаться приходится только на их порядочность… примерно так же устроен HTTP прокол. Данный способ передачи информации, написан всем программистам понятным языком. Так было сделано, чтобы данные передавались без потерь и быстро.
А теперь представьте, что вы вводите номер платёжной карты, для оплаты в интернет-магазине и этот номер совершенно без проблем могут перехватывать злоумышленники. Что они собственно и делали.
Или ещё пример: хакеры произвели захват трафика и добавили в пакеты данных сниперы (маленькие кодированные фрагменты для поисковой системы).
В 2015м году, по такой схеме была совершена кибератака на сайты GitHub и GreatFire.org. DDos-атака заключалась в перенаправлении большого объёма вредоносного трафика на сайты которые выбраны в качестве мишени. В итоге сервера просто не справляются с таким объёмом трафика и становятся недоступны для пользователей. Работа сайта останавливалась на 5 минут, пока программисты и системные администраторы переключали сайт на другой сервер и пытались отразить DDos-атаку, а потом ещё какое-то время работали с перебоями. Эти атаки хоть и самые крупные, но к сожалению не единственные по вине HTTP протокола.
Новое слово в мире передачи информации - HTTPS
Для защиты веб-ресурсов и обеспечения безопасности пользователей был создан протокол HTTPS, где приставка “S” расшифровывается как «secure» — защита. Теперь обмен данными между вашим компьютером и нужным вам сайтом происходит в зашифрованном виде. Чтобы злоумышленники не могли получать данные, они передаются в виде набора символов и знаков, и расшифровка происходит непосредственно при получении информации как сайтом так и пользователем.
Как же это работает? Когда вы в поисковике выбираете сайт, браузер делает запрос на сервер на котором находится данный сайт и сервер в ответ присылает подтверждение (сертификат) о безопасности сайта. Далее браузер проверяет достоверность сертификата, он должен быть выдан центром сертификации — CA (Certification authority), если сертификат не
поддельный, то между браузером и сайтом происходит обмен асимметричным секретным ключом, который поможет расшифровать данные при получении. Пользователям же сигналом о том, что сайт применяет защищенный HTTPS протокол и подтверждение сертификата прошло успешно, будет замочек зелёного цвета. А вот если сайт небезопасен или не имеет сертификата, в строке с адресом появится замочек красного цвета с предупреждением об опасности.
Для таких шифрований используются протоколы TLS и SSL. Оба протокола применяют два ключа — один доступен и сайту и браузеру, называется публичным, второй — частный, он хранится всегда на сервере и является собственностью сайта.
Что же такое асимметричный ключ и для чего он служит? А применяется он именно для шифрования и дешифрования передаваемых данных. Т.е. когда клиент отправляет свои данные на сайт они зашифровываются браузером с помощью публичного ключа. В процессе движения к серверу, эти данные имеют не читабельный вид, набор букв и цифр, а вот расшифровка уже происходит частным ключом, который принадлежит только сайту. Такой же порядок шифрования и при обратной ситуации передачи данных.
Различия между HTTP и HTTPS очевидны, последний из них передаёт данные применяя многоуровневую защиту, криптошифрование.
Как связан используемый протокол и посещаемость сайта?
Производительность сайтов, которые используют HTTP значительно ниже. Допустим, пользователь зашел на такую страницу сайта, увидел предупреждение браузера, что это опасно, нет защитных протоколов SSL/TLS. Тогда даже простому обывателю становится понятно — нет сертификата безопасности, сайт может нести угрозу, данные клиента никак не защищены. Как он поступит чаще всего? Конечно покинет такой
сайт. Безопасной альтернативы сейчас предостаточно. А мобильный телефон, такой сайт вообще не загрузит. А уж почему собственники веб-ресурса не обеспечили такую безопасность (решили сэкономить или сертификат давно устарел) вряд ли кого то будет волновать.
Владельцы сайтов применяя HTTPS протокол, отмечают значительный рост посещаемости. Большинство людей отдаст предпочтение именно сайтам которые побеспокоились о защите их данных. Что немаловажно наличие протокола SSL, делает сайт приоритетным на странице поиска. Google веб-ресурсы использующие HTTP протокол показывает на самых последних страницах в поисковой выдаче.
Еще больше полезной и интересной информации вы сможете узнать на нашем сайте.