حتما شما هم بارها نامهای HTTP و HTTPS را شنیدهاید. شاید برای شما هم این سوال پیش آمده است که پروتکل HTTP چیست و تفاوت آن با HTTPS چیست؟
ما در این مقاله قصد داریم تا شما را بهطور کامل با این پروتکل آشنا کنیم. همچنین از سازوکار و نحوهی ایمنسازی دستگاه خود در برابر آن، صحبت کنیم.
در ضمن اگر بهدنبال راهکارهایی، برای بالابردن امنیت کامپیوتر خود هستید میتوانید مقالهی ما؛ امنیت کامپیوتر شخصی و روشهای بهبود آن را مطالعه کنید.
فهرست مطالب
HTTP مخفف چیست؟
پروتکل HTTP مخفف HyperText Transfer Protocol است.
در واقع بهعنوان مجموعهای از قوانین و دستورالعملها عمل میکند که به سرورهای وب کمک میکند تمام دادههایی که از وبسایتها نیاز دارند، به مرورگر شما ارائه دهند.
تجزیهوتحلیل پروتکل HTTP
فرامتن که اکنون بیشتر بهعنوان هایپررسانه hypermedia شناخته میشود، هر نوع رسانهای است که شامل اتصال به انواع رسانههای دیگر میشود.
هایپرمدیا همان چیزی است که هنگام بازدید از یک وبسایت انتظار آن را داریم؛ مانند متون، تصاویر و صداهایی که می توانیم با آنها تعامل داشته باشیم.
پروتکل انتقال: HTTP یک پروتکل شبکه است، و بر انتقال اطلاعات بین دستگاهها (معمولا یک وب سرور و دستگاه مرورگر شما) نظارت میکند.
در واقع روی لایه برنامه یا application layer کار میکند، به این معنی که توسط یک مرورگر یا برنامه دیگری که برای نمایش وبسایتها طراحی شده است اجرا میشود.
HTTP چگونه کار میکند؟
HTTP اساسا بر اساس درخواست-پاسخ request-response کار میکند.
اقدامات شما، مانند کلیک کردن بر روی یک دکمه یا حتی وارد کردن URL وبسایت، به درخواستهای HTTP ترجمه میشود. سپس سرور پاسخهای HTTP به درخواستهای شما را ارسال میکند و به مرورگر شما اجازه دسترسی به وبسایت را میدهد.
معایب پروتکل HTTP چیست؟
پروتکل HTTP تاکنون بهخوبی به کاربران خدمت کرده است اما در مقابل مشکلات مختلف نیز آسیبپذیر است. متأسفانه HTTP یک پروتکل امن نیست. در پایین برخی از دلایل عدم امنیت آن را شرح خواهیم داد:
منسوخ شده: بهدلیل اینکه HTTP برای مدت طولانی وجود داشته است، هکرها و سایر مجرمان سایبری زمان بیشتری برای کشف آسیبپذیریها و توسعه حملات داشته اند.
ناامن بودن: HTTP فاقد ویژگیهای اولیه امنیتی مدرنی است که پروتکلهای بهروز شده یا ابزارهای امنیتی ارائه میدهند.
در واقع، بسیاری از آسیبپذیریهای امنیتی HTTP کاملاً واضح و مشخص هستند. برخی از رایجترین یا عمدهترین آنها عبارتند از:
- تزریق SQL؛
- اسکریپت بین سایتی؛
- حملات MITM
هر نوع تعاملی با وبسایتی که از رمزگذاری استفاده نمیکند، منجر به ارسال اطلاعات خصوصی شما به مجموعهای از شرکتهای ناشناس در مناطق مختلف جهان میشود. که این یک نقص امنیتی نیز محسوب میشود. چرا که ممکن است اطلاعات کاربران در این مسیر تغییر کند و کاربر حتی از آن باخبر نشود.
برخی از اقداماتی که افراد شرور با استفاده از پروتکل HTTP میتوانند انجام دهند را در پایین ذکر میکنیم:
افراد شرور میتوانند:
- تبلیغات یا محتواهای خاصی را به وبسایت خاصی اضافه کنند که در واقع هرگز در وبسایت اصلی نبودهاند.
کاری که Comcast با هشدارهای کپیرایت و موارد مشابه بهروزرسانی انجام داد.
- نرمافزارهایی را به سایت اضافه کنند که ارزهای دیجیتال را برای سود شخصی خود استخراج میکنند.
کاری که یک مغازهی استارباکس آرژانتینی در سال 2017 انجام داد.
- مردم را با استفاده از روش DNS hijacking به وبسایتهای جعلی هدایت کنند تا نام کاربری و رمزشان فاش شود.
دولتهایی که روی ساختار اینترنتی کشور کنترل زیادی دارند هم، قابلیتهای بیشتری پیدا میکنند.
چین از اتصالات رمزگذاری نشدهی HTTP استفاده میکند تا افرادی را که به سایت Baidu میروند به مهاجمان ناخواستهی وبسایت برنامهنویسی Github تبدیل کند. طبق یافتههای پروژهی تور که شرکتی برای نظارت بر روی سانسور اینترنت مصر است، مصر تبلیغات و برنامههای استخراج ارز دیجیتال را به کامپیوتر مردم وارد کرده است.
مشکلات ایمن نبودن HTTP چیست؟
اگرچه بهروزرسانیهای HTTPS در حال حاضر راحتتر میباشند؛ اما تغییر همیشه سخت است.
تغییر میتواند بهمعنای کار اضافی برای مسئولین سایتها و دیگران باشد.
آس میگوید:
«بعضی از افراد نمیخواهند برای ایمن کردن سایتهای خود کاری انجام دهند و درعین حال نیز نمیخواهند به بازدیدکنندگان از سایتهای آنان این اطلاع داده شود که سایت آنها ناامن است».
دیو وینر که در اینترنت برای ابداع بلاگ و فناوری RSS مشهور است و قبلاً به مشترکان برای بهروزرسانیها اطلاع میداد، یکی از منتقدان هشدار ناامن گوگل برای وبسایتهای HTTP است. او این انتقال دادهها را به عمل دستهای سوزاندن کتابها تشبیه کرده است. چراکه از تأثیری که این کار میتواند بر روی سایتهای قدیمی داشته باشد میترسد.
البته طرفداران HTTPS مخالف هستند.
آنها باور دارند که این کار مانند سوزاندن کتابها نیست.
بیشتر شبیه درخواست از رستورانهاست که رتبهبندی سلامت خود را عمومی کنند.
اطلاع دادن به مردم در این مورد که برخی از خدمات مشکلاتی دارند، یکی از بهترین راهها برای ترغیب ارائهدهندگان آن خدمات به رفع آن مشکلات است.
ایرادی دیگر این است که امروزه گرفتن گواهیهای HTTPS بسیار راحت شده است و دیگر لزوماً به این معنی نیست که سایتی که این گواهی را دارد حتما ایمن است.
جف ویلبر، مدیر فنی اتحادیهای اینترنتی میگوید: «رمزگذاری روی سایت بهمعنای تضمین این امر نیست که خود سایت هم ایمن است. افراد شرور هم میتوانند از سایت خود با HTTPS استفاده کنند».
چگونه مرورگرهای خود را در برابر HTTP ایمن کنیم؟
چند راه مختلف برای بهبود امنیت سایبری و غلبه بر نقصهای امنیتی HTTP وجود دارد. که در ادامه مهمترین و تاثیرگذارترین آنها را بیان میکنیم:
- از HTTPS استفاده کنید: از خودتان شروع کنید، و یک کاربر هوشیار اینترنت باشید. در صورت امکان از سایتهای HTTP اجتناب کنید. به این موضوع آگاه باشید که: سایتی که دادههای حساس را مدیریت میکند (مانند تراکنش های مالی) و از HTTP استفاده میکند، در واقع امنیت شما را جدی نمیگیرد.
- از افزونههای مرورگر ایمن استفاده کنید: اکثر کاربران در درجه اول از HTTP در مرورگرهای خود استفاده میکنند. اما تعداد زیادی افزونه مرورگر وجود دارد که میتوانند امنیت شما را بهبود ببخشند.
ما در مقالهی امنترین مرورگرهای جهان به معرفی انواع مرورگرها، مزایا و معایب هرکدام پرداختهایم. بنابراین اگر بدنبال راههای افزایش حریم خصوصی خود هستید، مطالعهی این مقاله را توصیه میکنیم.
- از VPN استفاده کنید: VPN در برابر حملاتی که امنیت شما را در وبسایتها یا مرورگرتان به خطر میاندازد، محافظت نمیکند. اما تضمین میکند که ترافیک HTTP شما هنگام انتقال به دستگاهتان ایمن باقی میماند. NordVPN حتی دارای ویژگی بهنام محافظت از تهدید است که میتواند به محافظت از شما در برابر برخی از حملاتی که HTTP در برابر آنها آسیبپذیر است کمک کند. با حذف پارامترهای ردیابی که وبسایتها به URL ها اضافه میکنند، حریمخصوصی آنلاین بیشتری به شما میدهد. این ردیابها ممکن است اطلاعات زیادی را در مورد شما به بازاریابان، تحلیلگران و سایر اشخاص ثالث نشان دهند. برشدهنده URL به شما کمک میکند این اطلاعات و عادات آنلاین خود را محرمانه نگهدارید.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
استفاده از کروم در وبسایتهایی با پروتکل HTTP
تغییرات برنامههای کروم تدریجی بودهاند. آغاز آن از برنامهی هشداری کروم در سال 2016 شروع شد و در ماه فوریه با هشداری مبنی بر این که HTTP ایمن نیست، ادامه پیدا کرد.
هشدار “not secure”
اخیرا حجم زیادی از هشدارهای “not secure” به معنی «ایمن نیست» را در نسخهی جدید مرورگر گوگل مشاهده میکنید.
کروم این هشدار را در صورتی که وبسایت مورد نظر شما رمزگذاری نشده باشد، در کنار آدرس آن در کادر مخصوص آدرسها، نمایش میدهد.
این هشدار شما را مجبور به انجام کار خاصی نمیکند و همچنین نیازی نیست که از آن بترسید. بیشتر به این معنی است که توسعهدهندگان آن وبسایت، باید سایت خود را بهروزرسانی کنند. خیلی بعید است که در آن زمان کسی در حال استفاده از اطلاعات شخصی شما برای مقاصد ناهنجار خود باشد.
کروم در حال تغییر نحوهی باز کردن وبسایتهای همراه HTTP است که، دادهها را رمزگذاری نمیکنند.
در ادامه مراحل این برنامه را بیان خواهیم کرد:
همین الان اگر روی وبسایتی با HTTP بروید، کروم نماد “i” را در سمت چپ آدرس نمایش میدهد که به معنی امکان دریافت اطلاعات بیشتر است.
اگر روی آن کلیک کنید، کروم میگوید: «اتصال شما به این وبسایت ایمن نیست». البته که این هشدار خیلی بازدارنده نیست، اما مانند کلمهی سبزsecure همراه با HTTPS یک وبسایت هم امن نیست.
زمانی که با کروم 68، به HTTPمتصل میشویم کلمات “not secure” به معنی ایمن نیست در کنار نماد i نمایش داده میشوند. سپس کروم 69 در سپتامبر منتشر میشود.
بر اساس اظهارات گوگل؛ بهجای عبارت “not secure” یک قفل سیاه میبینید. سپس در آینده، آن قفل سیاه هم ناپدید میشود. در واقع گوگل مردم را قانع میکند که اتصالات HTTPS همان چیزی هستند، که باید انتظارش را داشته باشند.
در آخر، گوگل قصد دارد با کروم 70 واکنش شدیدتری را نسبت به سایتهایی با اتصال HTTP نشان دهد. این کار با تغییر رنگ کلمات “not secure” از سیاه به قرمز انجام میگیرد تا هشداردهندهتر باشند.
دلایل عدم استفاده از HTTPS
چندین دهه از عمرHTTPS میگذرد. اما در روزهای اولیهی اینترنت فقط در مواقع خاصی استفاده میشد: مثلاً زمانی که اطلاعات حساسی مانند رمز عبور یا شمارهی کارت اعتباری را در وبسایتی وارد میکردیم. چرا کمتر استفاده میشد؟ به این دلیل که سالها پیش HTTPS بابت خدماتش پول دریافت میکرد و مدیران سایتها مجبور بودند برای استفاده از آن و فعال کردن این ویژگی هزینه کنند.
مشکلات کاربردی آن خیلی وقت است که حل شدهاند اگرچه تلاشی به نام «بیایید رمزگذاری کنیم» (Let’s Encrypt)که مورد حمایت: گوگل، فیسبوک، موزیلا، آکامای (Akamai)، سیسکو سیستمز (Cisco Systems)، بریو (Brave) و الکترانیک فرانتیِر (Electronic Frontier Foundation) و دیگر شرکتها قرار گرفت، این معنی را میدهد که این امکان دیگر رایگان است.
پس از سالها تلاش توسط شرکتهای مختلف فناوری، حالا مراقبت از سایتها با اتصالات HTTPS در حال افزایش است.
آمار و ارقام کاربران اینترنت نشان میدهد که اکثر کاربران فایرفاکس در 73 درصد موارد به صفحههای وبسایتهای ایمن میروند.
اما این بدین معنی نیست که انتقال دادهها به HTTPS کار راحتی است.
ناسا ماهها برای انتقال 3000 وبسایت به 95 درصد HTTPS زمان صرف کرد.
البته تصمیم گوگل که سایتهای HTTP را ناامن اعلام کند به این معنی است که، شرایط برای مسئولین وبسایتها با گذشته خیلی فرق کرده است. بعضی دوست دارند که مرورگرها ما را از صافیهای بیشتری هم رد کنند. جاش آس میگوید:
«کاربران باید خودشان انتخاب کنند که آیا میخواهند این خطر را بپذیرند یا خیر. کسی نمیگوید وبسایتهای قدیمی رمزگذاری نشده، باید از دسترس خارج شوند. اما این کار نیز که همه را به خطر بیندازیم تا فقط بتوانیم وبسایتهای کدگذاری نشده و قدیمی را بهصورت از پیش تعیینشده بارگذاری کنیم درست نیست».
چه افرادی از HTTPS استفاده نمیکنند؟
بیشتر سایتهایی که احتمال استفادهی شما از آنها زیاد است از اتصال شما با HTTPS محافظت میکنند و از این میان میتوان به گوگل، فیسبوک، یاهو، ایبِی، مایکروسافت، آمازون، توییتر و اینستاگرام اشاره کرد.
حتی اگر با تایپ کردن آدرس آنها بهصورت http:// بهوضوح درخواست ورود به صفحههای ناامن آنها را بدهید خودشان بهطور خودکار شما را به لینک ایمن متصل میکنند.
اما هنوز هم سایتهایی وجود دارند که به این امکان دسترسی پیدا نکردهاند.
مثلاً در سایتهای شرکت تحقیقاتی چینی Baidu و شرکت تجارت الکترونیک Alibaba اگر شما فقط آدرس سایت را در کادر آدرس وارد کنید به شما صفحهای رمزگذاری نشده نشان میدهند و فقط در صورتی کهhttps:// را قبل از اسم آدرس تایپ کنید شما را به صفحهای رمزگذاری شده میبرند.
دیگر سایتهای مشهور مثل ESPN.com و BBC.com حتی اگر درخواست صفحهی ایمن را هم بکنید به شما نسخهی ناامن و رمزگذاری نشده را نشان میدهند.
HTTPS در حال حاضر در حال فراگیر شدن است.
پروژهی بیایید رمزگذاری کنیم روزانه بیش از 600000 گواهی HTTPS را صادر میکند تا وبسایتها از آن استفاده کنند. امروزه بیش از 73 درصد وبسایتهایی که با فایرفاکس به آنها متصل میشوید، ایمن هستند.
محقق امنیتی اسکات هلم در تازهترین ارزیابی دوسالانهی خود گفت که تعداد وبسایتهای رمزگذاری شده در لیست یک میلیونی الکسا نسبت به بررسی قبلی رشدی 32 درصدی داشتهاند.
فرایند انتقال به HTTPS
بعد از سالها اعمال فشار باید این نکته خاطر نشان شود که: موانع پذیرفتن HTTPS کمتر از انگیزه و مزایای استفاده از آنهاست. علاوه بر هشدارهای کروم و گواهیهای رایگان «بیایید رمزگذاری کنیم»، در حال حاضر چندین منبع در گوگل وجود دارند که در این راستا فعالیت میکنند.
همچنین جدیدترین ویژگیهای مرورگرها اغلب به HTTPS نیاز دارند تا بتوانند فعال شوند. کاملاً واضح است که این انتقال روبهجلو است.
ویلبر میگوید:
«جامعهی اینترنت بر این باور است که رمزگذاری باید هنجار و برطبق قاعدهی ترافیک اینترنت باشد و این یک قدم روبه جلوی مهم در تلاشهای کنونی جوامع فنی است. همچنین موجب برطرف شدن ایراد نظارت فراگیر در اینترنت میشود».
درنهایت عادی شدن HTTPS به این معنی است که مهاجمان قرار است دوران سختی را پیشرو داشته باشند.
از زمان بنای شبکه گسترده جهانی، به مدت 25 سال هیچ تضمینی وجود نداشت که مطمئن باشیم در حال صحبت کردن با چه کسی هستیم.
اکنون در حال حرکت به سمت شرایطی هستیم که هشدار ناایمن مربوط به HTTP بسیار نادر است.
پنج سال دیگر به زمان حال نگاه میکنیم و میگوییم استفاده از چنین سایتهای ناامنی دیوانگی نبود؟
جمعبندی
پروتکلHTTP قادر به رمزگذاری نمیباشد. به همین خاطر از شنود و دستکاری اطلاعات کاربران نیز، جلوگیری نمیکند.
بنابراین گوگل، موزیلا و دیگر صنایع فناوری مرتبط، وبسایتها را وادار به انتقال دادههای خود به نسخهی ایمنی کردهاند که به آن HTTPS میگوییم.
با انتشار نسخهی 68 کروم, مرورگر گوگل هرزمانی که صفحهی اینترنتی خاصی را بدون رمزگذاری HTTP باز کند بلافاصله به شما هشدار میدهد.
امیلی اسکچر، مدیر بخش امنیتی کروم، در بلاگی گفت: “این هشدار به شما کمک میکند تا از این مسئله خبر داشته باشید که آیا اطلاعات شما که در حال انتقال به یک وبسایت مشخص است (چه در حال بررسی حساب بانکی خود باشید و چه در حال خرید بلیت کنسرت)، ایمن و خصوصی باقی میماند؟ “
دوست عزیز؛
به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال میشویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزهی امنیت و هک علاقمندید میتوانید وبلاگ ما را دنبال کنید.
۱ دیدگاه