برگزیده های پرشین تولز

آیا استفاده از پروتکل HTTPS به معنای امنیت کامل وب سایت خواهد بود؟

sanjary

Registered User
تاریخ عضویت
29 اکتبر 2017
نوشته‌ها
99
لایک‌ها
1
سن
35
بیایید صادق باشیم، هنگامی که کاربران قفل کوچک سبز رنگ را با نام "Secure" در سمت چپ URL خود مشاهده می کنند، تصور می کنند که در حال بازدید از وب سایت امنیتی هستند. این تصور از زمانی آغاز می شود که وب سایت از یک اتصال امن یا یک URL ای با پروتکل https استفاده کند. این روزها تعداد خیلی زیادی از وب سایت ها هستند که از http به https مهاجرت می کنند. اکثر آن ها انتخابی ندارند. پس مشکل چیست؟

در اینجا رازی وجود دارد که ما می خواهیم آن را با شما در میان بگذاریم: چنین نمادهای "Secure" وب سایت ها را در برابر تهدیدات امن نمی‌کند. به عنوان مثال یک وب سایت فیشینگ می تواند به طور قانونی این قفل سبز را در کنار آدرس https خود نشان دهد. پس چگونه می توان امن را از نا امن تشخیص داد؟؟

اتصال امن به معنای وب سایت امن نیست

قفل سبز به این معنا است که وب سایت گواهی گرفته و یک جفت کلید رمزنگاری برای آن ایجاد شده است. چنین وب سایت هایی اطلاعات بین شما و سایتی که با آن مراوده دارید را رمزنگاری می کنند. این وب سایت ها با URL های HTTPS آغاز می شوند و "S" آن ها به معنای امنیت بالای آن ها خواهد بود.

مسلم است که رمزنگاری اطلاعات قابل انتقال ویژگی بسیار خوبی است. این بدان معنی است که اطلاعات بین مرورگر شما و وب سایت ها هرگز به دست اشخاص ثالث همانند ISPها، مدیران شبکه، مزاحمان و غیره نخواهد رسید. این امنیت به شما اجازه می دهد که رمزهای عبور یا اطلاعات کارت های اعتباری خود را بدون هیچ نگرانی وارد کنید. اما این را بدانید که قفل سبز رنگ و گواهی صادر شده تنها یک امنیت کلی است و هیچ تضمینی برای امنیت خود وب سایت و البته مشخصات آن نمی دهد.

یک صفحه ی فیشینگ به سادگی می تواند گواهی دریافت کند و تمامی ترافیک بین شما و وب سایت فیشینگ را رمزنگاری کند. این قفل کوچک به سادگی ضامن اطلاعات شما می شود و بیانگر این است که هیچ شخص سومی قادر به جاسوسی از شما نخواهد بود. اما در صورتی که وب سایت سکیور شده، فیشینگ باشد رمز عبور شما راهی برای فرار نخواهد داشت و می تواند توسط مجرمان به سرقت برود.

مجرمان امروزه به طور شایعی از پروتکل های امن HTTPS برای عملیات خرابکارانه ی خود استفاده می کنند. این در حالی است که دو سال پیش کمتر از 1 درصد از مجرمان از این موقعیت برای حملات خود استفاده می کردند. علاوه بر این بیش از 80% از کاربران معتقدند که حضور یک قفل کوچک و کلمه ی "Secure" در کنارURL به این معنا است که سایت امن است و مشکلی برای وارد کردن داده ها بوجود نخواهد آمد.

اگر رنگ قفل به رنگ سبز نباشد به چه معنا است؟

در صورتی که نوار آدرس بدون هیچ قفلی باشد به این معنا است که وب سایت از عملیات رمزنگاری برای داده های کاربران استفاده نمی کند و اطلاعات شما با مرورگر با پروتکل HTTP در تبادل است. گوگل کروم چنین وب سایت هایی را ناامن تلقی می کند و استفاده از آن ها را توصیه نمی کند. اینگونه وب سایت‌ها ممکن است کار شما را راه بیندازند اما این را بدانید که ترافیک بین شما و سرور را به هیچ عنوان رمزنگاری نمی‌کنند. اکثر صاحبان وب سایت نمی خواهند که گوگل کروم از آن ها پشتیبانی نکنند از همین رو است که اکثر آن ها به HTTPS مهاجرت می کنند. در هر صورت ورود اطلاعات حساس در یک وب سایت HTTP کار غیر عقلانی است و هر شخص ثالثی می تواند از آن ها جاسوسی کند.

نوع دیگری که ممکن است شما مشاهده کنید آیکونی است که خط های قرمز رنگ است و حروف HTTPS در آن با رنگ قرمز مشخص شده است. این رنگ به این معنا است که وب سایت دارای گواهینامه است اما گواهینامه تایید شده نیست. به عبارتی دیگر اتصال بین شما و سرور رمزنگاری شده است اما هیچ کسی نمی تواند تضمین کند که دامنه متعلق به شرکت نشان داده شده در وب سایت است. این سناریویی کاملا مشکوک است و این گواهینامه ها اغلب برای تست های مختلف مورد استفاده قرار می گیرد.

متناوباً اگر گواهی منقضی شده باشد و صاحب آن مجاز به تمدید نشده باشد مرورگر صفحات را به عنوان نا امن و با قفل قرمز رنگ به صورت اخطار نمایش می دهد.

در هر صورت رنگ قرمز به عنوان یک هشدار محسوب می شود و بهتر است از این وب سایت ها اجتناب کنید و هرگز اطلاعات شخصی خود را در آن ها وارد نکنید.

چگونه طعمه نشویم؟

به طور خلاصه حضور یک گواهی و قفل سبز به این معنا است که داده های ارسال شده بین شما و سایت مورد نظر رمزنگاری می شوند و گواهی توسط یک منبع معتبر ارسال شده است. اما این را یافتیم که HTTPS شرط لازم برای امنیت است ولی کافی نیست. HTTPS نمی‌تواند بیانگر قانونی بودن یک وب سایت باشد و می تواند به راحتی توسط مجرمان دستکاری شده باشد.

  • همیشه به هشدارها توجه داشته باشید؛ مهم نیست که در نگاه اول وب سایت قانونی به نظر می رسد، تشخیص این موضوع را به عهده ی وب بگذارید.
  • هرگز گذرواژه ها، اعتبارنامه های بانکی یا هر گونه اطلاعات شخصی خود را در وب سایت هایی که به آن ها اعتماد ندارید و آن ها را کامل نمی شناسید، وارد نکنید. مگر اینکه از صحت آن ها اطمینان داشته باشید. برای انجام این کار همیشه دامنه ی وب سایت خود را چک کنید و دقت کنید که نام وب سایت همانند همیشه باشد، تفاوت تنها در یک حرف به معنای جعلی بودن وب سایت است. در نهایت هم قبل از کلیک کردن از واقعی بودن لینک ها مطمئن شوید.
  • همیشه قبل از اینکه در یک وب سایت ثبت نام کنید تمام موارد را در نظر بگیرید. مشکوک باشید و اطلاعات خود را راحت در اختیار یک وب سایت قرار ندهید.
  • از محافظت شدن دستگاه های خود اطمینان حاصل کنید: اینترنت سکیوریتی کسپرسکی تمامی URL ها را در برابر دیتابیس وب سایت های فیشینگ و دیگر کلاهبرداری ها شناسایی می کند.
 
بالا