HTTPS je že skoraj povsod. Zakaj torej internet še vedno ni varen?
Večina spletnega prometa je zdaj poslana preko povezave HTTPS, zaradi česar naj bi ta bil »varen«. Pravzaprav Google zdaj opozarja, da so nešifrirana spletna mesta HTTP »Not Secure« oziroma niso zavarovana in posledično nevarna. Torej, zakaj je na spletu še vedno toliko nevarnih dejavnosti?
»Varna« mesta imajo varno povezavo
Brskalnik Chrome je v preteklosti prikazoval besedo »Secure« in zeleno ključavnico v naslovni vrstici, ko ste obiskali spletno mesto, ki uporablja HTTPS ali »varno« povezavo. Sodobne različice brskalnika Chrome imajo zdaj, namesto tega, malo ikono sive ključavnice, brez besede »Secure«, ki se nanaša na »varno« povezavo.
Temu je deloma tako, tudi zaradi tega, ker se HTTPS zdaj šteje za nov osnovni standard. Privzeto morajo biti vse povezave »varne«, tako da vas Chrome zdaj opozarja samo še, ko je povezava »Nezanesljiva« oziroma, ko dostopate do spletnega mesta preko povezave HTTP.
Izginila je tudi malce zavajajoča beseda »Secure«. Zdelo se je namreč, da Chrome potrjuje vsebino spletnega mesta, kot da je vse na tej strani »varno«. Vendar to sploh ni res. »Varno« spletno mesto HTTPS bi lahko bilo polno zlonamerne programske opreme ali pa ponarejeno spletno mesto, z lažno identiteto.
HTTPS ustavi t.i. snooping in oviranje
HTTPS je odličen standard ali protokol, vendar ne zagotavlja, da je vse na spletni strani varno. HTTPS je kratica za Hypertext Transfer Protocol Secure. To je kot standardni protokol HTTP za povezovanje s spletnimi mesti, vendar s plastjo varnega šifriranja.
Takšno šifriranje preprečuje ljudem, da bi brskali po vaših podatkih v tranzitu. Na primer, nihče ne more brskati po podrobnostih plačila, ki jih pošljete na spletno mesto.
Z uporabo HTTPS se računalniki med seboj strinjajo s »kodo«, nato pa preberejo sporočila s to isto »kodo«, tako skrbijo, da so vaši podatki varni pred hekerji.
Na kratko, HTTPS zagotavlja varno povezavo med vami in določenim spletnim mestom. Nihče ne more »prisluškovati« ali spreminjati vaših podatkov.
HTTPS dejansko ne pomeni, da je spletno mesto »varno«
HTTPS je odličen in vse spletne strani ga morajo uporabljati. Vendar pomeni le, da uporabljate varno povezavo s tem spletnim mestom. Beseda »Secure« ni povezana z vsebino te spletne strani. Vse kar pomeni, je da to, da je operater spletnega mesta kupil certifikat in nastavil šifriranje za zaščito povezave.
Na primer, nevarno spletno mesto, polno zlonamernih prenosov, lahko deluje preko protokola HTTPS. Kar pomeni, da se spletna stran in datoteke, ki jih prenesete, pošljejo preko varne povezave, vendar so vseeno lahko nevarne.
Podobno lahko kriminalec kupi domeno, kot je denimo »bankaslovenije.si«, za to dobi certifikat za šifriranje SSL (Secure Sockets Layer in njegov naslednik Transport Layer Security – TLS sta kriptografska protokola, ki omogočata varno komunikacijo na medmrežju). SSL ali TLS posnema pravo spletno stran Banke Slovenije. To bi bilo lažno spletno mesto z zaščiteno ključavnico ali varno povezavo, katere namen je izkoristiti vaše podatke v svoj prid.
HTTPS je še vedno odličen
Kljub temu, da jih brskalniki za fraziranje že leta uporabljajo, spletna mesta HTTPS niso resnično varna. Spletne strani, ki preklapljajo na HTTPS, pomagajo rešiti nekatere težave, vendar ne izključijo možnosti zlonamerne programske opreme, lažnega predstavljanja, neželeno pošto, napadov na ranljiva spletna mesta ali različnih drugih prevar na spletu.
Premik s HTTP na HTTPS je še vedno odličen za internet. Po Googlovih statističnih podatkih se 80% spletnih strani, naloženih v Chromu v sistemu Windows, naloži preko HTTPS. Uporabniki Chroma v operacijskem sistemu Windows pa porabijo 88% časa brskanja na spletnih mestih HTTPS.
Zaradi tega prehoda je storilcem kaznivih dejanj težje odtujiti vaše osebne podatke, zlasti v javnih Wi-Fi omrežjih.
Recimo, da prenesete datoteko programa .exe iz spletnega mesta, medtem ko ste povezani z javnim omrežjem Wi-Fi. Če ste povezani s HTTP, lahko operater Wi-Fi-ja spreminja prenos in vam pošlje drugo, zlonamerno datoteko .exe. Če ste povezani s HTTPS, je povezava varna in nihče ne more spreminjati prenosa programske opreme.
HTTPS je velik napredek, vendar moramo še vedno ostati previdni. Da se zaščitimo pred zlonamerno programsko opremo, odkrijemo lažna spletna mesta in se izognemo drugim težavam na spletu pa ne smemo pozabiti na osnovne varnostne ukrepe.
Avtor: Marko Vidrih