Kā darbojas tiešsaistes drošība
Pēdējā laikā ar neskaitāmiem ziņojumiem tik daudz lielu datu pārkāpumu ziņās jums varētu būt jautājums, kā jūsu dati tiek aizsargāti, kad esat tiešsaistē. Jūs zināt, jūs dodaties uz vietni, lai veiktu iepirkšanos, ievadiet savu kredītkartes numuru, un, cerams, pēc dažām dienām pakaļināsies pie jūsu durvīm. Bet tajā brīdī, kad jūs noklikšķināt uz Pasūtīt , vai jūs kādreiz esat brīnījies, kā darbojas drošība tiešsaistē?
Interneta drošības pamati
Tā ir visbūtiskākā forma, tiešsaistes drošība - tas ir drošības starp jūsu datoru un jūsu apmeklēto vietni - tiek veikta, izmantojot virkni jautājumu un atbildes. Jūs ievadāt tīmekļa adresi savā pārlūkprogrammā , pēc tam jūsu pārlūkprogramma prasa, lai šī vietne pārbaudītu tā autentiskumu, vietne reaģē ar atbilstošo informāciju, un pēc tam, kad abas ir vienojušās, vietne tiek atvērta jūsu tīmekļa pārlūkprogrammā.
Pieprasītajiem jautājumiem un apmaiņai ar informāciju ir dati par šifrēšanas veidu, kas tiek izmantots, lai pārsūtītu pārlūkprogrammas informāciju, informāciju par datoru un personas informāciju starp jūsu pārlūkprogrammu un tīmekļa vietni. Šie jautājumi un atbildes saucas par rokasspiedienu. Ja šī rokassprādze nenotiek, tad vietne, kuru jūs mēģināt apmeklēt, tiks uzskatīta par nedrošu.
HTTP vs HTTPS
Viena lieta, ko jūs varat pamanīt, kad apmeklējat tīmekļa vietnes, ir tas, ka dažiem ir adrese, kas sākas ar http, un daži sākas ar https . HTTP nozīmē hiperteksta pārsūtīšanas protokolu ; tas ir protokols vai vadlīniju kopums, kas apzīmē drošu saziņu internetā. Jūs pat varat pamanīt, ka dažās vietnēs, īpaši vietnēs, kur jums tiek lūgts sniegt sensitīvu vai personas identificējošu informāciju, var parādīties https vai nu zaļā krāsā, vai sarkanā krāsā ar līniju caur to. HTTPS nozīmē Hypertext Transfer Protocol Secure, un zaļš nozīmē, ka vietnei ir verificējams drošības sertifikāts. Sarkans ar līniju caur to nozīmē, ka vietnei nav drošības sertifikāta vai sertifikāts ir neprecīzs vai tas ir beidzies.
Lūk, kur lietas nedaudz mulsina. HTTP nenozīmē, ka dati, kas tiek pārsūtīti starp jūsu datoru un vietni, ir šifrēti. Tas nozīmē tikai to, ka vietnei, kas sazinās ar jūsu pārlūkprogrammu, ir aktīvs drošības sertifikāts. Tikai tad, kad tiek iekļauts S (kā HTTP S ), dati, kas tiek nodoti drošībā, un ir arī cita tehnoloģija, kas padara šo drošo apzīmējumu iespējamu.
Saprast SSL protokolu
Ja jūs apsverat iespēju kopīgot rokasspiedienu ar kādu, tas nozīmē, ka ir iesaistīta otrā puse. Tiešsaistes drošība ir ļoti līdzīga. Lai rokasspiediens, kas nodrošina drošību tiešsaistē, ir saistīts ar otru pusi. Ja HTTPS ir protokols, kuru tīmekļa pārlūkprogramma izmanto, lai nodrošinātu drošību, tad šī rokasspiediena otrā puse ir protokols, kas nodrošina šifrēšanu.
Šifrēšana ir tehnoloģija, ko izmanto, lai slēptu datus, kas tiek pārsūtīti starp divām ierīcēm tīklā. Tas tiek paveikts, atpazīstamas rakstzīmes pagriežot uz neatpazīstamu viltību, kuru var atgriezt sākotnējā stāvoklī, izmantojot šifrēšanas atslēgu. Tas sākotnēji tika veikts, izmantojot tehnoloģiju, ko sauc Secure Socket Layer (SSL) drošība.
Būtībā SSL bija tehnoloģija, kas pārvērta jebkādus datus, kas pārvietojas starp vietni un pārlūkprogrammu, lai padarītu to nevainojamu, un pēc tam atkal iekļūt datu veidā. Lūk, kā tas darbojas:
- Atverat savu pārlūkprogrammu un ierakstiet bankas adresi.
- Jūsu interneta pārlūks bail uz bankas durvīm un iepazīstina ar jums.
- Durvju pārbaudītājs apliecina, ka esat jūs, kas jūs sakāt, ka esat, un pēc tam piekrītat atļauties, ievērojot nosacījumus.
- Jūsu tīmekļa pārlūkprogramma piekrīt šiem nosacījumiem, un pēc tam jums ir atļauts piekļūt bankas vietnei.
Process tiek atkārtots, kad ievadāt savu lietotāja vārdu un paroli, veicot dažas papildu darbības.
- Jūs ievadāt savu lietotājvārdu un paroli, lai piekļūtu savam kontam.
- Jūsu tīmekļa pārlūkprogrammas informē bankas konta pārzini, ka vēlaties piekļūt savam kontam.
- Viņi sarunājas un piekrīt, ka, ja jūs varat nodrošināt pareizos akreditācijas datus, jums tiks piešķirta piekļuve. Tomēr šie akreditācijas dati jāuzrāda, izmantojot īpašu valodu.
- Tīmekļa pārlūkprogramma un bankas konta pārzinis piekrīt valodai, kuru izmantos.
- Tīmekļa pārlūkprogramma pārveido jūsu lietotājvārdu un paroli šajā īpašajā valodā un nodod to bankas konta pārzini.
- Konta pārzinis saņem datus, tos dekodē un salīdzina ar saviem ierakstiem.
- Ja jūsu akreditācijas dati sakrīt, jums tiek piešķirta piekļuve jūsu kontam.
Process notiek nano sekunžu laikā, tādēļ jūs neievēroat laiku, kas nepieciešams, lai šī visa saruna un rokasspiediena tiktu veiktas starp tīmekļa pārlūkprogrammu un vietni.
SSL vs TLS
SSL bija sākotnējais drošības protokols, kas tika izmantots, lai nodrošinātu, ka tīmekļa vietnes un starp tām nodotie dati ir droši. Saskaņā ar GlobalSign, SSL tika ieviesta 1995. gadā kā versija 2.0. Pirmā versija (1.0) nekad nebija publiski pieejama. Gadā versiju 2,0 aizstāja ar versiju 3.0, lai novērstu neaizsargātību protokolā. 1999. gadā tika ieviesta cita SSL versija, ko sauca par transporta slāņa drošību (TLS), lai uzlabotu sarunas ātrumu un rokasspiediena drošību. TLS ir pašreiz izmantotā versija, lai gan vienkāršības labad to bieži vien dēvē par SSL.
TLS šifrēšana
TLS datu šifrēšana tika ieviesta, lai uzlabotu datu drošību. Kaut arī SSL bija laba tehnoloģija, drošības izmaiņas strauji attīstījās, kā rezultātā radās nepieciešamība pēc labākas, modernākas drošības. TLS tika veidota, izmantojot SSL sistēmu, ievērojami uzlabojot algoritmus, kas regulē saziņu un rokasspiediena procesu.
Kura TLS versija ir aktuālāka?
Tāpat kā SSL, TLS šifrēšana turpināja uzlaboties. Pašreizējā TLS versija ir 1.2, bet TLSv1.3 ir izstrādāts, un daži uzņēmumi un pārlūkprogrammas ir izmantojušas drošību īsos laika periodos. Lielākajā daļā gadījumu tie atgriežas pie TLSv1.2, jo versija 1.3 joprojām tiek pilnveidota.
Kad tiks pabeigts, TLSv1.3 dos daudzus drošības uzlabojumus, tostarp uzlabotu atbalstu vairāk pašreizējiem šifrēšanas veidiem. Tomēr TLSv1.3 arī samazinās atbalstu vecākām SSL protokolu versijām un citām drošības tehnoloģijām, kas vairs nav pietiekami stingras, lai nodrošinātu pienācīgu jūsu personas datu drošību un šifrēšanu.