Зашто HTTPS везе не гарантују безбедност на интернету
Велика већина интернет саобраћаја данас се одвија путем HTTPS протокола, што се сматра „безбедним“. Међутим, Google сада јасно упозорава да HTTP сајтови који нису шифровани представљају ризик. Зашто се, упркос томе, и даље суочавамо са великим бројем злонамерног софтвера, фишинга и других претњи на интернету?
„Безбедне“ локације: Сигурност се односи на везу, не на садржај
У ранијим верзијама Chrome прегледача, поред адресе сајта се приказивала реч „Безбедно“ и зелена иконица катанца када сте посећивали сајт преко HTTPS протокола. Савремени Chrome приказује само малу сиву иконицу катанца, без експлицитне ознаке „Безбедно“.
Разлог за ову промену је што се HTTPS данас сматра основним стандардом. Сви сајтови би требало да подразумевано буду безбедни, па вас Chrome упозорава само када приступате сајту преко небезбедног HTTP протокола.
Такође, уклањање речи „безбедно“ је помало и корекција, јер је та реч доводила у заблуду. Изгледало је као да Chrome гарантује за садржај сајта, као да је све на тој страници „безбедно“. Међутим, то није истина. HTTPS сајт може бити препун малвера или лажна страница за крађу идентитета.
HTTPS: Штити од прислушкивања и неовлашћених промена
HTTPS (Hypertext Transfer Protocol Secure) представља надоградњу стандардног HTTP протокола са додатним слојем шифровања. Ово шифровање спречава неовлашћене особе да прислушкују ваше податке током преноса и спречава такозване „man-in-the-middle“ нападе, где неко може да измени веб страницу пре него што стигне до вас. На пример, ваши подаци о плаћању на интернету остају недоступни трећим лицима.
Укратко, HTTPS гарантује да је комуникација између вашег уређаја и одређене веб локације сигурна, без могућности прислушкивања или неовлашћених измена. Ту се његова функција завршава.
„Безбедно“ не значи „поуздано“
HTTPS је изузетно користан и сваки сајт би требало да га користи. Међутим, једино што он обезбеђује је сигурна веза са конкретном веб локацијом. Сама ознака „Безбедно“ не гарантује ништа о садржају те странице. То је само потврда да је оператер сајта купио SSL сертификат и омогућио шифровање за ту везу.
На пример, веб локација која дистрибуира злонамерни софтвер може да користи HTTPS. То само значи да се датотеке које преузимате преносе путем безбедне везе, али не значи да су те датотеке безбедне.
Слично томе, преварант може да региструје домен попут „bankaamerika.com“, добије SSL сертификат и креира лажну страницу која имитира прави сајт Bank of America. Ова фишинг страница ће имати „безбедну“ иконицу катанца, али само означава да имате сигурну везу са преварантском странице.
HTTPS је и даље од велике користи
Иако се HTTPS сајтови не могу сматрати потпуно „безбедним“, њихово масовно усвајање је побољшало сигурност на интернету. Прелазак на HTTPS помаже у решавању појединих проблема, али не елиминише све претње као што су малвер, фишинг, спам и напади на рањиве сајтове.
Ипак, прелазак на HTTPS је изузетно важан. Према Google-овим статистикама, 80% веб страница које се учитавају у Chrome-у на Windows-у користи HTTPS. Корисници Chrome-а на Windows-у проводе 88% свог времена на HTTPS сајтовима.
Ова транзиција је учинила криминалцима много тежим прислушкивање личних података, поготово на јавним Wi-Fi мрежама. Такође је значајно смањена могућност „man-in-the-middle“ напада на јавним мрежама.
На пример, ако преузимате .exe датотеку програма са сајта док сте повезани на јавни Wi-Fi, а веза је HTTP, оператер Wi-Fi мреже може да измени датотеку и пошаље вам злонамерну верзију. Међутим, ако је веза HTTPS, она је сигурна и нико не може да мења датотеку.
То је огромна победа, али не и универзално решење. И даље је неопходно придржавати се основних безбедносних правила на интернету како бисте се заштитили од малвера, фишинга и других претњи.
Кредит за слику: Ени Сетииовати/Shutterstock.com.