خانه امنیت و هک پروتکل HTTP چیست و چگونه کار می‌کند؟
امنیت و هک همه مطالب

پروتکل HTTP چیست و چگونه کار می‌کند؟

پروتکل HTTP چیست و چگونه کار می‌کند؟

حتما شما هم بارها نام‌‌های HTTP و HTTPS را شنیده‌اید. شاید برای شما هم این سوال پیش آمده است که پروتکل HTTP چیست و تفاوت آن با HTTPS چیست؟

ما در این مقاله قصد داریم تا شما را به‌طور کامل با این پروتکل آشنا کنیم. همچنین از سازوکار و نحوه‌ی ایمن‌سازی دستگاه خود در برابر آن، صحبت کنیم.

در ضمن اگر به‌دنبال راهکارهایی، برای بالابردن امنیت کامپیوتر خود هستید میتوانید مقاله‌ی ما؛ امنیت کامپیوتر شخصی و روش‌های بهبود آن را مطالعه کنید.

فهرست مطالب

HTTP مخفف چیست؟

پروتکل HTTP مخفف HyperText Transfer Protocol است.

در واقع به‌عنوان مجموعه‌ای از قوانین و دستورالعمل‌ها عمل می‌کند که به سرورهای وب کمک می‌کند تمام داده‌هایی که از وب‌سایت‌ها نیاز دارند، به مرورگر شما ارائه دهند.

تجزیه‌وتحلیل پروتکل HTTP

فرامتن که اکنون بیشتر به‌عنوان هایپررسانه hypermedia شناخته می‌شود، هر نوع رسانه‌ای است که شامل اتصال به انواع رسانه‌های دیگر می‌شود.

هایپرمدیا همان چیزی است که هنگام بازدید از یک وب‌سایت انتظار آن را داریم؛ مانند متون، تصاویر و صداهایی که می توانیم با آن‌ها تعامل داشته باشیم.

پروتکل انتقال: HTTP یک پروتکل شبکه است، و بر انتقال اطلاعات بین دستگاه‌ها (معمولا یک وب سرور و دستگاه مرورگر شما) نظارت می‌کند.

در واقع روی لایه برنامه یا application layer کار می‌کند، به این معنی که توسط یک مرورگر یا برنامه دیگری که برای نمایش وب‌سایت‌ها طراحی شده است اجرا می‌شود.

HTTP چگونه کار می‌کند؟

HTTP اساسا بر اساس درخواست-پاسخ request-response کار می‌کند.

اقدامات شما، مانند کلیک کردن بر روی یک دکمه یا حتی وارد کردن URL وب‌سایت، به درخواست‌های HTTP ترجمه می‌شود. سپس سرور پاسخ‌های HTTP به درخواست‌های شما را ارسال می‌کند و به مرورگر شما اجازه دسترسی به وب‌سایت را می‌دهد.

معایب پروتکل HTTP چیست؟

پروتکل  HTTP تاکنون به‌خوبی به کاربران خدمت کرده است اما در مقابل مشکلات مختلف نیز آسیب‌پذیر است. متأسفانه HTTP یک پروتکل امن نیست. در پایین برخی از دلایل عدم امنیت آن را شرح خواهیم داد:

منسوخ شده: به‌دلیل اینکه HTTP برای مدت طولانی وجود داشته است، هکرها و سایر مجرمان سایبری زمان بیشتری برای کشف آسیب‌پذیری‌ها و توسعه حملات داشته اند.

ناامن بودن: HTTP فاقد ویژگی‌های اولیه امنیتی مدرنی است که پروتکل‌های به‌روز شده یا ابزارهای امنیتی ارائه می‌دهند.

در واقع، بسیاری از آسیب‌پذیری‌های امنیتی HTTP کاملاً واضح و مشخص هستند. برخی از رایج‌ترین یا عمده‌ترین آن‌ها عبارتند از:

  • تزریق SQL؛
  • اسکریپت بین سایتی؛
  • حملات MITM

هر نوع تعاملی با وب‌سایتی که از رمزگذاری استفاده نمی‌کند، منجر به ارسال اطلاعات خصوصی شما به مجموعه‌ای از شرکت‌های ناشناس در مناطق مختلف جهان می‌شود. که این یک نقص امنیتی نیز محسوب می‌شود. چرا که ممکن است اطلاعات کاربران در این مسیر تغییر کند و کاربر حتی از آن باخبر نشود.

برخی از اقداماتی که افراد شرور با استفاده از پروتکل HTTP می‌توانند انجام دهند را در پایین ذکر می‌کنیم:

افراد شرور می‌توانند:

  • تبلیغات یا محتواهای خاصی را به وب‌سایت خاصی اضافه کنند که در واقع هرگز در وب‌سایت اصلی نبوده‌اند.

کاری که Comcast با هشدارهای کپی‌رایت و موارد مشابه به‌روزرسانی انجام داد.

  • نرم‌افزارهایی را به سایت اضافه کنند که ارزهای دیجیتال را برای سود شخصی خود استخراج می‌کنند.

کاری که یک مغازه‌ی استارباکس آرژانتینی در سال 2017 انجام داد.

  • مردم را با استفاده از روش DNS hijacking به وب‌سایت‌های جعلی هدایت کنند تا نام کاربری و رمزشان فاش شود.

دولت‌هایی که روی ساختار اینترنتی کشور کنترل زیادی دارند هم، قابلیت‌های بیشتری پیدا می‌کنند.

چین از اتصالات رمزگذاری نشده‌ی HTTP استفاده می‌کند تا افرادی را که به سایت Baidu  می‌روند به مهاجمان ناخواسته‌ی وب‌سایت برنامه‌نویسی Github تبدیل کند. طبق یافته‌های پروژه‌ی تور که شرکتی برای نظارت بر روی سانسور اینترنت مصر است،  مصر تبلیغات و برنامه‌های استخراج ارز دیجیتال را به کامپیوتر مردم وارد کرده است.

مشکلات ایمن نبودن HTTP چیست؟

اگرچه به‌روزرسانی‌های HTTPS  در حال حاضر راحت‌تر می‌باشند؛ اما تغییر همیشه سخت است.

تغییر می‌تواند به‌معنای کار اضافی برای مسئولین سایت‌ها و دیگران باشد.

آس می‌گوید:

«بعضی از افراد نمی‌خواهند برای ایمن کردن سایت‌های خود کاری انجام دهند و درعین‌ حال نیز نمی‌خواهند به بازدیدکنندگان از سایت‌های آنان این اطلاع داده شود که سایت آن‌ها ناامن است».

دیو وینر که در اینترنت برای ابداع بلاگ و فناوری RSS مشهور است و قبلاً به مشترکان برای به‌روزرسانی‌ها اطلاع می‌داد، یکی از منتقدان هشدار ناامن گوگل برای وب‌سایت‌های HTTP  است. او این انتقال داده‌ها را به عمل دسته‌ای سوزاندن کتاب‌ها تشبیه کرده است. چراکه از تأثیری که این کار می‌تواند بر روی سایت‌های قدیمی داشته باشد می‌ترسد.

البته طرفداران HTTPS مخالف هستند.

آن‌ها باور دارند که این کار مانند سوزاندن کتاب‌ها نیست.

بیشتر شبیه درخواست از رستوران‌هاست که رتبه‌بندی سلامت خود را عمومی کنند.

اطلاع دادن به مردم در این مورد که برخی از خدمات مشکلاتی دارند، یکی از بهترین راه‌ها برای ترغیب ارائه‌دهندگان آن خدمات به رفع آن مشکلات است.

ایرادی دیگر این است که امروزه گرفتن گواهی‌های HTTPS بسیار راحت شده است و دیگر لزوماً به این معنی نیست که سایتی که این گواهی را دارد حتما ایمن است.

جف ویلبر، مدیر فنی اتحادیه‌ای اینترنتی می‌گوید: «رمزگذاری روی سایت به‌معنای تضمین این امر نیست که خود سایت هم ایمن است. افراد شرور هم می‌توانند از سایت خود با HTTPS استفاده کنند».

چگونه مرورگرهای خود را در برابر HTTP ایمن کنیم؟

چند راه مختلف برای بهبود امنیت سایبری و غلبه بر نقص‌های امنیتی HTTP وجود دارد. که در ادامه مهم‌ترین و تاثیرگذارترین آن‌ها را بیان می‌کنیم:

  • از HTTPS استفاده کنید: از خودتان شروع کنید، و یک کاربر هوشیار اینترنت باشید. در صورت امکان از سایت‌های HTTP اجتناب کنید. به این موضوع آگاه باشید که: سایتی که داده‌های حساس را مدیریت می‌کند (مانند تراکنش های مالی) و از HTTP استفاده می‌کند، در واقع امنیت شما را جدی نمی‌گیرد.

  • از افزونه‌های مرورگر ایمن استفاده کنید: اکثر کاربران در درجه اول از HTTP در مرورگرهای خود استفاده می‌کنند. اما تعداد زیادی افزونه مرورگر وجود دارد که می‌توانند امنیت شما را بهبود ببخشند.

ما در مقاله‌ی امن‌ترین مرورگرهای جهان به معرفی انواع مرورگرها، مزایا و معایب هرکدام پرداخته‌ایم. بنابراین اگر بدنبال راه‌های افزایش حریم خصوصی خود هستید، مطالعه‌ی این مقاله را توصیه می‌کنیم.

  • از VPN استفاده کنید: VPN در برابر حملاتی که امنیت شما را در وب‌سایت‌ها یا مرورگرتان به خطر می‌اندازد، محافظت نمی‌کند. اما تضمین می‌کند که ترافیک HTTP شما هنگام انتقال به دستگاه‌تان ایمن باقی می‌ماند. NordVPN حتی دارای ویژگی به‌نام محافظت از تهدید است که می‌تواند به محافظت از شما در برابر برخی از حملاتی که HTTP در برابر آن‌ها آسیب‌پذیر است کمک کند. با حذف پارامترهای ردیابی که وب‌سایت‌ها به URL ها اضافه می‌کنند، حریم‌خصوصی آنلاین بیشتری به شما می‌دهد. این ردیاب‌ها ممکن است اطلاعات زیادی را در مورد شما به بازاریابان، تحلیلگران و سایر اشخاص ثالث نشان دهند. برش‌دهنده URL به شما کمک می‌کند این اطلاعات و عادات آنلاین خود را محرمانه نگهدارید.

خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتی‌ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به‌روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد می‌کنیم.

در نسخه امنیت اینترنتی شید شما می‌توانید در برابر ویروس‌ها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداخت‌ها و کارهای بانکی‌تان نباشید. همچنین کنترل برنامه‌های دستگاه‌تان را در دست بگیرید.

جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.

استفاده از کروم در وب‌سایت‌هایی با پروتکل HTTP  

تغییرات برنامه‌های کروم تدریجی بوده‌اند. آغاز آن از برنامه‌ی هشداری کروم در سال 2016 شروع شد و در ماه فوریه با هشداری مبنی بر این که HTTP ایمن نیست، ادامه پیدا کرد.

هشدار “not secure”

اخیرا حجم زیادی از هشدارهای “not secure” به معنی «ایمن نیست» را در نسخه‌ی جدید مرورگر گوگل مشاهده می‌کنید.

کروم این هشدار را در صورتی ‌که وب‌سایت مورد نظر شما رمزگذاری نشده باشد، در کنار آدرس آن در کادر مخصوص آدرس‌ها، نمایش می‌دهد.

این هشدار شما را مجبور به انجام کار خاصی نمی‌کند و همچنین نیازی نیست که از آن بترسید. بیشتر به این معنی است که توسعه‌دهندگان آن وب‌سایت، باید سایت خود را به‌روزرسانی کنند. خیلی بعید است که در آن زمان کسی در حال استفاده از اطلاعات شخصی شما برای مقاصد ناهنجار خود باشد.

کروم در حال تغییر نحوه‌ی باز کردن وب‌سایت‌های همراه HTTP است که، داده‌ها را رمزگذاری نمی‌کنند.

در ادامه مراحل این برنامه را بیان خواهیم کرد:

همین‌ الان اگر روی وب‌سایتی با HTTP بروید، کروم نماد “i” را در سمت چپ آدرس نمایش می‌دهد که به معنی امکان دریافت اطلاعات بیشتر است.

اگر روی آن کلیک کنید، کروم می‌گوید: «اتصال شما به این وب‌سایت ایمن نیست». البته که این هشدار خیلی بازدارنده نیست، اما مانند کلمه‌ی سبزsecure  همراه با  HTTPS یک وب‌سایت هم امن نیست.

زمانی که با کروم 68، به  HTTPمتصل می‌شویم کلمات “not secure” به معنی ایمن نیست در کنار نماد i نمایش داده می‌شوند. سپس کروم 69 در سپتامبر منتشر می‌شود.

بر اساس اظهارات گوگل؛ به‌جای عبارت “not secure”  یک قفل سیاه می‌بینید. سپس در آینده، آن قفل سیاه هم ناپدید می‌شود. در واقع گوگل مردم را قانع می‌کند که اتصالات HTTPS  همان چیزی هستند، که باید انتظارش را داشته باشند.

در آخر، گوگل قصد دارد با کروم 70 واکنش شدیدتری را نسبت به سایت‌‌هایی با اتصال HTTP نشان دهد. این کار با تغییر رنگ کلمات “not secure” از سیاه به قرمز انجام می‌گیرد تا هشداردهنده‌تر باشند.

دلایل عدم استفاده از HTTPS

چندین دهه از عمرHTTPS  می‌گذرد. اما در روزهای اولیه‌ی اینترنت فقط در مواقع خاصی استفاده می‌شد: مثلاً زمانی که اطلاعات حساسی مانند رمز عبور یا شماره‌ی کارت اعتباری را در وب‌سایتی وارد می‌کردیم. چرا کمتر استفاده می‌شد؟ به این دلیل که سال‌ها پیش HTTPS  بابت خدماتش پول دریافت می‌کرد و مدیران سایت‌ها مجبور بودند برای استفاده از آن و فعال کردن این ویژگی هزینه کنند.

مشکلات کاربردی آن خیلی وقت‌ است که حل شده‌اند اگرچه تلاشی به نام «بیایید رمزگذاری کنیم»  (Let’s Encrypt)که مورد حمایت: گوگل، فیس‌بوک، موزیلا، آکامای (Akamai)، سیسکو سیستمز (Cisco Systems)، بریو (Brave) و الکترانیک فرانتیِر (Electronic  Frontier Foundation)   و دیگر شرکت‌ها قرار گرفت، این معنی را می‌دهد که این امکان دیگر رایگان است.

پس از سال‌ها تلاش توسط شرکت‌های مختلف فناوری، حالا مراقبت از سایت‌ها با اتصالات HTTPS  در حال افزایش است.

آمار و ارقام کاربران اینترنت نشان می‌دهد که اکثر کاربران فایرفاکس در 73 درصد موارد به صفحه‌های وب‌سایت‌های ایمن می‌روند.

اما این بدین معنی نیست که انتقال داده‌ها به HTTPS کار راحتی است.

ناسا ماه‌ها برای انتقال 3000 وب‌سایت به 95 درصد HTTPS زمان صرف کرد.

البته تصمیم گوگل که سایت‌های HTTP را ناامن اعلام کند به این معنی است که، شرایط برای مسئولین وب‌سایت‌ها با گذشته خیلی فرق کرده است. بعضی دوست دارند که مرورگرها ما را از صافی‌های بیشتری هم رد کنند. جاش آس می‌گوید:

«کاربران باید خودشان انتخاب کنند که آیا می‌خواهند این خطر را بپذیرند یا خیر. کسی نمی‌گوید وب‌سایت‌های قدیمی رمزگذاری نشده، باید از دسترس خارج شوند. اما این کار نیز که همه را به خطر بیندازیم تا فقط بتوانیم وب‌سایت‌های کدگذاری نشده و قدیمی را به‌صورت از پیش تعیین‌شده بارگذاری کنیم درست نیست».

چه افرادی از HTTPS استفاده نمی‌کنند؟

بیشتر سایت‌هایی که احتمال استفاده‌ی شما از آن‌ها زیاد است از اتصال شما با HTTPS محافظت می‌کنند و از این میان می‌توان به گوگل، فیسبوک، یاهو، ای‌بِی، مایکروسافت، آمازون، توییتر و اینستاگرام اشاره کرد.

حتی اگر با تایپ کردن آدرس آن‌ها به‌صورت http://  به‌‌وضوح درخواست ورود به صفحه‌های ناامن آن‌ها را بدهید خودشان به‌طور خودکار شما را به لینک ایمن متصل می‌کنند.

اما هنوز هم سایت‌هایی وجود دارند که به این امکان دسترسی پیدا نکرده‌اند.

مثلاً در سایت‌های شرکت تحقیقاتی چینی Baidu و شرکت تجارت الکترونیک Alibaba اگر شما فقط آدرس سایت را در کادر آدرس وارد کنید به شما صفحه‌ای رمزگذاری نشده نشان می‌دهند و فقط در صورتی ‌کهhttps://   را قبل از اسم آدرس تایپ کنید شما را به صفحه‌ای رمزگذاری شده می‌برند.

دیگر سایت‌های مشهور مثل ESPN.com و BBC.com حتی اگر درخواست صفحه‌ی ایمن را هم بکنید به شما نسخه‌ی ناامن و رمزگذاری نشده را نشان می‌دهند.

HTTPS  در حال حاضر در حال فراگیر شدن است.

پروژه‌ی بیایید رمزگذاری کنیم روزانه بیش از 600000 گواهی HTTPS را صادر می‌کند تا وب‌سایت‌ها از آن استفاده کنند. امروزه بیش از 73 درصد وب‌سایت‌هایی که با فایرفاکس به آن‌ها متصل می‌شوید، ایمن هستند.

محقق امنیتی اسکات هلم در تازه‌ترین ارزیابی دوسالانه‌ی خود گفت که تعداد وب‌سایت‌های رمزگذاری شده در لیست یک ‌میلیونی الکسا نسبت به بررسی قبلی رشدی 32 درصدی داشته‌اند.

فرایند انتقال به HTTPS

بعد از سال‌ها اعمال فشار باید این نکته خاطر نشان شود که: موانع پذیرفتن HTTPS کمتر از انگیزه و مزایای استفاده از آن‌هاست. علاوه بر هشدارهای کروم و گواهی‌های رایگان «بیایید رمزگذاری کنیم»، در حال حاضر چندین منبع در گوگل وجود دارند که در این راستا فعالیت می‌کنند.

همچنین جدیدترین ویژگی‌های مرورگرها اغلب به HTTPS  نیاز دارند تا بتوانند فعال شوند. کاملاً واضح است که این انتقال روبه‌جلو است.

ویلبر می‌گوید:

«جامعه‌ی اینترنت بر این باور است که رمزگذاری باید هنجار و برطبق قاعده‌ی ترافیک اینترنت باشد و این یک ‌قدم روبه ‌جلوی مهم در تلاش‌های کنونی جوامع فنی است. همچنین موجب برطرف شدن ایراد نظارت فراگیر در اینترنت می‌شود».

درنهایت عادی شدن HTTPS به این معنی است که مهاجمان قرار است دوران سختی را پیش‌رو داشته باشند.

از زمان بنای شبکه‌ گسترده‌ جهانی، به مدت 25 سال هیچ تضمینی وجود نداشت که مطمئن باشیم در حال صحبت کردن با چه کسی هستیم.

اکنون در حال حرکت به سمت شرایطی هستیم که هشدار ناایمن مربوط به HTTP بسیار نادر است.

پنج سال دیگر به زمان حال نگاه می‌کنیم و می‌گوییم استفاده از چنین سایت‌های ناامنی دیوانگی نبود؟

جمع‌بندی

پروتکلHTTP  قادر به رمزگذاری نمی‌باشد. به همین خاطر از شنود و دست‌کاری اطلاعات کاربران نیز، جلوگیری نمی‌کند.

بنابراین گوگل، موزیلا و دیگر صنایع فناوری مرتبط، وب‌سایت‌ها را وادار به انتقال داده‌های خود به نسخه‌ی ایمنی کرده‌اند که به آن HTTPS می‌گوییم.

با انتشار نسخه‌ی 68 کروم, مرورگر گوگل هرزمانی که صفحه‌ی اینترنتی خاصی را بدون رمزگذاری HTTP باز کند بلافاصله به شما هشدار می‌دهد.

امیلی اسکچر، مدیر بخش امنیتی کروم، در بلاگی گفت: “این هشدار به شما کمک می‌کند تا از این مسئله خبر داشته باشید که آیا اطلاعات شما که در حال انتقال به یک وب‌سایت مشخص است (چه در حال بررسی حساب بانکی خود باشید و چه در حال خرید بلیت کنسرت)، ایمن و خصوصی باقی می‌ماند؟ “

دوست عزیز؛

به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال می‌شویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزه‌ی امنیت و هک علاقمندید می‌توانید وبلاگ ما را دنبال کنید.

۱ دیدگاه

  • Woah! I’m really digging the template/theme of
    this website. It’s simple, yet effective. A lot
    of times it’s hard to get that “perfect balance” between user
    friendliness and visual appeal. I must say that you’ve done a
    fantastic job with this. Additionally, the blog loads extremely quick
    for me on Safari. Exceptional Blog!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

خروج از نسخه موبایل