Kako deluje spletna varnost
Če imate v preteklih časih toliko hudih podatkov o kršitvah podatkov, se morda sprašujete, kako so vaši podatki zaščiteni, ko ste na spletu. Veš, greš na spletno stran za nakupovanje, vnesi svojo številko kreditne kartice in upajmo, da čez nekaj dni dobi paket na tvoja vrata. Toda v tem trenutku, preden kliknete naročilo , se kdaj sprašujete, kako deluje varnost na spletu?
Osnove spletne varnosti
V njeni najosnovnejši obliki je spletno varnost - to je varnost, ki poteka med računalnikom in spletnim mestom, ki ga obiskujete - se izvaja z vrsto vprašanj in odgovorov. V brskalnik vnesete spletni naslov, nato vaš spletni brskalnik zahteva, da spletno mesto preveri njegovo pristnost, spletno mesto odgovori z ustreznimi informacijami in ob oboje se strinja, se spletno mesto odpre v vašem spletnem brskalniku.
Med postavljenimi vprašanji in informacijami, ki se izmenjujejo, so podatki o vrsti šifriranja, ki se uporablja za posredovanje podatkov o brskalniku, računalniških podatkih in osebnih podatkih med brskalnikom in spletnim mestom. Ta vprašanja in odgovori se imenujejo rokovanje. Če se to rokovanje ne izvede, se bo spletna stran, ki jo poskušate obiskati, štela za nevarno.
HTTP v primerjavi s HTTPS
Ena stvar, ki jo boste opazili, ko obiščete spletna mesta v spletu, je, da imajo nekateri naslov, ki se začne s http in nekateri začnejo s https . HTTP pomeni protokol prenosa za hipertekst ; to je protokol ali niz smernic, ki označujejo varno komunikacijo prek interneta. Morda celo opazite, da lahko nekatera spletna mesta, zlasti spletna mesta, na katerih ste zahtevali, da predložijo občutljive ali osebno prepoznavne informacije, prikažejo https v zeleni ali rdeči barvi z linijo prek nje. HTTPS pomeni protokol prenosa za hipertekst Secure in zeleno pomeni, da ima spletno mesto preverljivo varnostno potrdilo. Rdeča z linijo skozi to pomeni, da stran nima varnostnega potrdila ali je potrdilo netočno ali poteklo.
Tukaj je nekaj stvari zmedeno. HTTP ne pomeni, da so podatki, preneseni med računalnikom in spletnim mestom, šifrirani. Samo spletno mesto, ki komunicira z vašim brskalnikom, ima aktivno varnostno potrdilo. Šele ko je vključen S (kot v HTTP S ), so podatki, ki se prenesejo varno, in obstaja še druga tehnologija, ki omogoča to varno označevanje.
Razumevanje protokola SSL
Ko razmišljate o skupni rabi rokovanja z nekom, to pomeni, da je vključena druga stranka. Spletna varnost je na enak način enaka. Za rokovanje, ki zagotavlja varnost na spletu, mora biti vključena druga stranka. Če je HTTPS protokol, ki ga spletni brskalnik uporablja za zagotovitev varnosti, potem je druga polovica tega rokovanja protokol, ki zagotavlja šifriranje.
Šifriranje je tehnologija, ki se uporablja za prikrivanje podatkov, ki se prenašajo med dvema napravama v omrežju. To se doseže tako, da prepoznavne znake spremenimo v neprepoznavno gube, ki jih lahko v izvorno stanje vrnete s šifrirnim ključem. To je bilo prvotno doseženo s tehnologijo Secure Socket Layer (SSL) .
V bistvu je bila SSL tehnologija, ki je spremenila vse podatke, ki se gibljejo med spletnim mestom in brskalnikom, in se znova vračajo v podatke. Evo, kako deluje:
- Odprete svoj brskalnik in vnesite naslov za svojo banko.
- Vaš spletni brskalnik potrka na vrata banke in vas uvaja.
- Vrvnik preveri, da ste vi, kdo ste rekli, in se nato strinjate, da vas pustite pod določenimi pogoji.
- Vaš spletni brskalnik se strinja s temi pogoji, nato pa imate dovoljenje za dostop do spletne strani banke.
Postopek se ponovi, ko vnesete svoje uporabniško ime in geslo, z nekaj dodatnimi koraki.
- Za dostop do vašega računa vpišete svoje uporabniško ime in geslo .
- Vaši spletni brskalniki sporočajo upravitelju računa banke, da želite dostopati do svojega računa.
- Pogovarjajo in se strinjajo, da če lahko zagotovite pravilne poverilnice, vam bo omogočil dostop. Vendar je treba te poverilnice predstaviti s posebnim jezikom.
- Spletni brskalnik in upravitelj računa banke se strinjata z jezikom, ki se bo uporabljal.
- Spletni brskalnik pretvori vaše uporabniško ime in geslo v ta poseben jezik in ga pošlje v upravitelja računa banke.
- Upravitelj računa prejme podatke, jo dekodira in primerja z njihovimi zapisi.
- Če se vaše poverilnice ujemajo, boste imeli dostop do svojega računa.
Postopek poteka v nano sekundah, tako da ne opazite časa, ki je potreben za celoten pogovor in rokovanje med spletnim brskalnikom in spletnim mestom.
SSL vs TLS
SSL je bil prvotni varnostni protokol, ki je bil uporabljen za zagotovitev, da so spletna mesta in podatki, posredovani med njimi, varni. Po podatkih podjetja GlobalSign je bil SSL uveden leta 1995 kot različica 2.0. Prva različica (1.0) se nikoli ni našla v javni domeni. Različica 2.0 je bila v roku enega leta nadomeščena z različico 3.0 za obravnavo ranljivosti v protokolu. Leta 1999 je bila uvedena še ena različica SSL-ja, imenovane Transport Layer Security (TLS), ki je izboljšala hitrost pogovora in varnosti rokovanja. TLS je različica, ki je trenutno v uporabi, čeprav se zaradi enostavnosti pogosto še vedno imenuje SSL.
Šifriranje TLS
Šifriranje TLS je bilo uvedeno za izboljšanje varnosti podatkov. Čeprav je bila SSL dobra tehnologija, se je varnost hitro spremenila, kar je privedlo do potrebe po boljši in bolj posodobljeni varnosti. TLS je bil zgrajen na podlagi SSL s pomembnimi izboljšavami algoritmov, ki urejajo komunikacijo in proces rokovanja.
Katera različica TLS je najbolj aktualna?
Kot pri SSL se še naprej izboljšuje šifriranje TLS. Trenutna različica TLS je 1,2, TLSv1.3 pa je bil pripravljen in nekatera podjetja in brskalniki so uporabljali varnost za kratka obdobja. V večini primerov se vrnejo nazaj na TLSv1.2, ker je različica 1.3 še vedno izpopolnjena.
Ko bo dokončana, bo TLSv1.3 prinesel številne varnostne izboljšave, vključno z izboljšano podporo za bolj aktualne vrste šifriranja. Toda TLSv1.3 bo spustil podporo tudi za starejše različice SSL protokolov in drugih varnostnih tehnologij, ki niso več robustne, da bi zagotovili pravilno varnost in šifriranje vaših osebnih podatkov.