Βασίλης
Ορφανίδης
Απρ 13, 12:05μμ
Το Διαδίκτυο είναι μία τεράστια πηγή πληροφοριών και ψυχαγωγίας που διαρκώς ανανεώνεται, όμως κατά τις δεκάδες καθημερινές σου περιηγήσεις στον κυβερνοχώρο δεν μπορεί να μην έχεις παρατηρήσει ένα μικρό πράσινο λουκετάκι, το οποίο εμφανίζεται στην γραμμή αναζήτησης του browser σου, δίπλα από το URL της εκάστοτε ιστοσελίδας.
Ίσως να μη το γνωρίζεις, όμως αυτό το μικρό πράσινο λουκέτο παίζει έναν ιδιαίτερα σημαντικό ρόλο όσον αφορά την ασφάλεια των συνδέσεων σου και κατ’ επέκταση των δεδομένων σου.
Γνωρίζεις ήδη ότι οι ISPs (Internet Service Providers ή πάροχοι) μπορούν να εντοπίσουν και να καταγράψουν σχεδόν όλες τις διαδικτυακές σου δραστηριότητες (όπως πχ. την επισκεψιμότητα ιστοσελίδων, το χρόνο παραμονής κα.) όμως δεν μπορούν - ακόμα - να γνωρίζουν και το περιεχόμενο που καταναλώνεις.
Αυτό το περιεχόμενο και οι ιστοσελίδες που το φιλοξενούν μπορεί να εγκυμονούν κινδύνους, οι οποίοι με τη σειρά τους μπορούν να εκθέσουν το σύστημα σου σε netwowrk snoopers, keyloggers και προγράμματα ransomware - αλλοιώνοντας ή υποκλέπτοντας δεδομένα ζωτικής σημασίας.
Για αυτό το λόγο δημιουργήθηκαν κάποιες «αμυντικές γραμμές», συγκεκριμένα δικτυακά πρωτόκολλα σύνδεσης τα οποία χρησιμοποιούνται σε παγκόσμια κλίμακα και υποδεικνύουν πότε μία σύνδεση είναι ασφαλής, ελέγχοντας τις πληροφορίες ασφάλειας κάθε ιστοτόπου.
Το πρώτο από αυτά, το HTTP (HyperText Transfer Protocol δηλαδή Πρωτόκολλο Μεταφοράς Υπερκειμένου), είναι το κύριο πρωτόκολλο που χρησιμοποιείται στους browsers του Παγκοσμίου Ιστού (www.) για τη μεταφορά δεδομένων ανάμεσα σε έναν διακομιστή (server) και έναν πελάτη (client). Οι προδιαγραφές του οριστικοποιήθηκαν το 1991 και σήμερα το πρωτόκολλο αυτό είναι το πλέον καθιερωμένο και διαδεδομένο, σε σημείο που σχεδόν όλοι οι browsers το θεωρούν δεδομένο.
Όταν βλέπεις το HTTP στο browser σου τότε είσαι σίγουρος ότι έχεις συνδεθεί με έναν τυποποιημένο ιστότοπο και δεν έχεις δημιουργήσει σύνδεση υπό άλλο πρωτόκολλο, όπως πχ. FTP (File Transfer Protocol), το οποίο χρησιμοποιείται συχνά από τις βάσεις δεδομένων για την αποθήκευση και μεταφορά δεδομένων.
Άρα λοιπόν το είδος του πρωτοκόλλου, πριν από μια διαδικτυακή διεύθυνση, καθορίζει ακόμα και το είδος της «συναλλαγής» που μπορεί να πραγματοποιηθεί μεταξύ του browser και της συγκεκριμένης ιστοσελίδας.
Τι γίνεται όμως με το πρόσθετο “S” στο HTTPS; Η απάντηση είναι απλή. To S σημαίνει “Secure” δηλαδή ασφάλεια.
Το HTTPS είναι το ουσιαστικά ίδιο με το HTTP - όπως μαρτυρά και το όνομά του - με τη διαφορά ότι διαθέτει μία επιπλέον βαθμίδα ασφαλείας, την SSL (Secure Sockets Layer), μέρος ενός ευρύτερου πρωτοκόλλου ασφαλείας το οποίο ονομάζεται Transport Layer Security (TLS).
Δουλειά του TLS είναι να ελέγχει αν ο ιστότοπος που φορτώνεις στον browser σου είναι πραγματικά αυτός που θέλεις να επισκεφτείς, πχ. ότι το Facebook που βλέπεις μπροστά σου και ετοιμάζεσαι να καταχωρήσεις τα προσωπικά σου δεδομένα (Username, Password) είναι πραγματικά το Facebook και όχι κάποιος «κλώνος» του.
Συν τοις άλλοις, το TLS κρυπτογραφεί όλα τα στοιχεία που διαβιβάζονται σε πραγματικό χρόνο.
Η κρυπτογράφηση είναι μία διαδικασία αρκετά διαδεδομένη τα τελευταία χρόνια και πολλές εφαρμογές, όπως πχ. το WhatsApp, κρυπτογραφούν τα δεδομένα που διακινούνται μέσω της πλατφόρμας τους, ώστε να εξασφαλίσουν τη μέγιστη δυνατή ασφάλεια και ανωνυμία των χρηστών.
Έτσι, εάν κάποιος θέλει να «διαβάσει» το όνομα χρήστη (Username) ή τον κωδικό πρόσβασης (Password) που αποστέλλεις κάθε φορά πχ. στη Google, είτε γιατί θέλει να αποκτήσει πρόσβαση στα μηνύματα του ηλεκτρονικού σου ταχυδρομείου ή να υποκλέψει την ταυτότητα σου στο Instagram, το HTTPS θα τον εμποδίσει!
Και είναι προφανές γιατί οι κωδικοί σύνδεσης ή οι πληροφορίες των πιστωτικών καρτών οφείλουν να κρυπτογραφούνται και να μην αποστέλλονται με τη μορφή απλού κειμένου σε μία ιστοσελίδα - πόσο μάλλον σε ένα ηλεκτρονικό κατάστημα - οπότε αν σκοπεύεις, εν έτη 2017, να ψωνίσεις από e-shop ή άλλη διαδικτυακή πλατφόρμα η οποία δεν διαθέτει HTTPS, καλύτερα να το ξανασκεφθείς.
Επιπροσθέτως, τo HTTPS αποκρύπτει ένα μεγάλο κομμάτι των δραστηριοτήτων σου από τους ISPs και τους κυβερνητικούς οργανισμούς, οι οποίοι μπορούν να δουν τις διευθύνσεις που επισκέπτεσαι, πχ. το Amazon, αλλά όχι και τις αναζητήσεις ή τις υποσελίδες (mini-sites) που μπορεί να επισκεφθείς για όση ώρα βρίσκεσαι εκεί.
Πολλά mobile apps χρησιμοποιούν τα ίδια ακριβώς πρωτόκολλα για να κάνουν τις συνδέσεις τους ασφαλείς και κρυπτογραφημένες, αλλά δυστυχώς οι χρήστες δεν έχουν τρόπο να τσεκάρουν πότε και αν γίνεται αυτό.
Το μόνο σίγουρο είναι ότι εφαρμογές μεγάλων οργανισμών και εταιρειών, όπως του Facebook, της Google ή της τράπεζας σου, χρησιμοποιούν τα παραπάνω όμως δεν μπορούμε να σου εγγυηθούμε το ίδιο και για τις εφαρμογές που προέρχονται από μικρά software houses ή ανεξάρτητους developers, απλά, μπορούμε να το υποθέσουμε.
Αφού λοιπόν το HTTPS είναι τόσο καλό, γιατί δεν το χρησιμοποιούμε … παντού; Μην ανησυχείς, κάποια στιγμή θα γίνει και αυτό.
Υπάρχει επιτακτική ανάγκη για καθολική υιοθέτηση του HTTPS, η χρήση του οποίου δυστυχώς απαιτεί λίγο μεγαλύτερη επεξεργαστική ισχύ, ταχύτερες συνδέσεις (bandwidth) αλλά και σωστή υποδομή (software), πράγματα τα οποία δεν είναι αναγκαία σε ιστοσελίδες όπου δεν απαιτείται η υποβολή οποιαδήποτε ευαίσθητης πληροφορίας ή δεν εκτελούνται συναλλαγές. Λογικό.
Αυτό έρχονται να αλλάξουν οι πρόσφατες εκδόσεις του HTTPS και έπειτα το δημοφιλές πρωτόκολλο θα γίνει προσιτό σε όλους.
Τώρα, αν θέλεις να έχεις όσο το δυνατόν μεγαλύτερη ασφάλεια, η επέκταση (plug-in) HTTPS Everywhere για Chrome και Firefox φροντίζει να συνδέεσαι αποκλειστικά στις HTTPS εκδόσεις των ιστοσελίδων, μία λύση την οποία μπορείς να χρησιμοποιείς αν συνδέεσαι σε δημόσια Wi-Fi δίκτυα, όπου συνήθως υπάρχουν αρκετοί «καλοθελητές» …
Θα πεις, οκ, το HTTPS δεν μπορεί να είναι 100% απαραβίαστο ... Μάντεψε. Κανένα μέτρο ασφάλειας δεν είναι.
Αλλά τουλάχιστον καθιστά δυσκολότερη την παρακολούθηση των προσωπικών σου δεδομένων από τους χάκερ και όσους φιλοδοξούν να χρησιμοποιήσουν τα προσωπικά σου δεδομένα για προσωπικό τους όφελος, ένα εργαλείο ζωτικής σημασίας για την ασφαλή παραμονή σου στο Διαδίκτυο.
Τα μάτια στο «λουκετάκι» λοιπόν και καλό σερφάρισμα!
Για αυτό το λόγο δημιουργήθηκαν κάποιες «αμυντικές γραμμές», συγκεκριμένα δικτυακά πρωτόκολλα σύνδεσης τα οποία χρησιμοποιούνται σε παγκόσμια κλίμακα και υποδεικνύουν πότε μία σύνδεση είναι ασφαλής, ελέγχοντας τις πληροφορίες ασφάλειας κάθε ιστοτόπου.
Το πρώτο από αυτά, το HTTP (HyperText Transfer Protocol δηλαδή Πρωτόκολλο Μεταφοράς Υπερκειμένου), είναι το κύριο πρωτόκολλο που χρησιμοποιείται στους browsers του Παγκοσμίου Ιστού (www.) για τη μεταφορά δεδομένων ανάμεσα σε έναν διακομιστή (server) και έναν πελάτη (client). Οι προδιαγραφές του οριστικοποιήθηκαν το 1991 και σήμερα το πρωτόκολλο αυτό είναι το πλέον καθιερωμένο και διαδεδομένο, σε σημείο που σχεδόν όλοι οι browsers το θεωρούν δεδομένο.
Όταν βλέπεις το HTTP στο browser σου τότε είσαι σίγουρος ότι έχεις συνδεθεί με έναν τυποποιημένο ιστότοπο και δεν έχεις δημιουργήσει σύνδεση υπό άλλο πρωτόκολλο, όπως πχ. FTP (File Transfer Protocol), το οποίο χρησιμοποιείται συχνά από τις βάσεις δεδομένων για την αποθήκευση και μεταφορά δεδομένων.
Άρα λοιπόν το είδος του πρωτοκόλλου, πριν από μια διαδικτυακή διεύθυνση, καθορίζει ακόμα και το είδος της «συναλλαγής» που μπορεί να πραγματοποιηθεί μεταξύ του browser και της συγκεκριμένης ιστοσελίδας.
Τι γίνεται όμως με το πρόσθετο “S” στο HTTPS; Η απάντηση είναι απλή. To S σημαίνει “Secure” δηλαδή ασφάλεια.
Το HTTPS είναι το ουσιαστικά ίδιο με το HTTP - όπως μαρτυρά και το όνομά του - με τη διαφορά ότι διαθέτει μία επιπλέον βαθμίδα ασφαλείας, την SSL (Secure Sockets Layer), μέρος ενός ευρύτερου πρωτοκόλλου ασφαλείας το οποίο ονομάζεται Transport Layer Security (TLS).
Δουλειά του TLS είναι να ελέγχει αν ο ιστότοπος που φορτώνεις στον browser σου είναι πραγματικά αυτός που θέλεις να επισκεφτείς, πχ. ότι το Facebook που βλέπεις μπροστά σου και ετοιμάζεσαι να καταχωρήσεις τα προσωπικά σου δεδομένα (Username, Password) είναι πραγματικά το Facebook και όχι κάποιος «κλώνος» του.
Συν τοις άλλοις, το TLS κρυπτογραφεί όλα τα στοιχεία που διαβιβάζονται σε πραγματικό χρόνο.
Η κρυπτογράφηση είναι μία διαδικασία αρκετά διαδεδομένη τα τελευταία χρόνια και πολλές εφαρμογές, όπως πχ. το WhatsApp, κρυπτογραφούν τα δεδομένα που διακινούνται μέσω της πλατφόρμας τους, ώστε να εξασφαλίσουν τη μέγιστη δυνατή ασφάλεια και ανωνυμία των χρηστών.
Έτσι, εάν κάποιος θέλει να «διαβάσει» το όνομα χρήστη (Username) ή τον κωδικό πρόσβασης (Password) που αποστέλλεις κάθε φορά πχ. στη Google, είτε γιατί θέλει να αποκτήσει πρόσβαση στα μηνύματα του ηλεκτρονικού σου ταχυδρομείου ή να υποκλέψει την ταυτότητα σου στο Instagram, το HTTPS θα τον εμποδίσει!
Και είναι προφανές γιατί οι κωδικοί σύνδεσης ή οι πληροφορίες των πιστωτικών καρτών οφείλουν να κρυπτογραφούνται και να μην αποστέλλονται με τη μορφή απλού κειμένου σε μία ιστοσελίδα - πόσο μάλλον σε ένα ηλεκτρονικό κατάστημα - οπότε αν σκοπεύεις, εν έτη 2017, να ψωνίσεις από e-shop ή άλλη διαδικτυακή πλατφόρμα η οποία δεν διαθέτει HTTPS, καλύτερα να το ξανασκεφθείς.
Επιπροσθέτως, τo HTTPS αποκρύπτει ένα μεγάλο κομμάτι των δραστηριοτήτων σου από τους ISPs και τους κυβερνητικούς οργανισμούς, οι οποίοι μπορούν να δουν τις διευθύνσεις που επισκέπτεσαι, πχ. το Amazon, αλλά όχι και τις αναζητήσεις ή τις υποσελίδες (mini-sites) που μπορεί να επισκεφθείς για όση ώρα βρίσκεσαι εκεί.
Πολλά mobile apps χρησιμοποιούν τα ίδια ακριβώς πρωτόκολλα για να κάνουν τις συνδέσεις τους ασφαλείς και κρυπτογραφημένες, αλλά δυστυχώς οι χρήστες δεν έχουν τρόπο να τσεκάρουν πότε και αν γίνεται αυτό.
Το μόνο σίγουρο είναι ότι εφαρμογές μεγάλων οργανισμών και εταιρειών, όπως του Facebook, της Google ή της τράπεζας σου, χρησιμοποιούν τα παραπάνω όμως δεν μπορούμε να σου εγγυηθούμε το ίδιο και για τις εφαρμογές που προέρχονται από μικρά software houses ή ανεξάρτητους developers, απλά, μπορούμε να το υποθέσουμε.
Αφού λοιπόν το HTTPS είναι τόσο καλό, γιατί δεν το χρησιμοποιούμε … παντού; Μην ανησυχείς, κάποια στιγμή θα γίνει και αυτό.
Υπάρχει επιτακτική ανάγκη για καθολική υιοθέτηση του HTTPS, η χρήση του οποίου δυστυχώς απαιτεί λίγο μεγαλύτερη επεξεργαστική ισχύ, ταχύτερες συνδέσεις (bandwidth) αλλά και σωστή υποδομή (software), πράγματα τα οποία δεν είναι αναγκαία σε ιστοσελίδες όπου δεν απαιτείται η υποβολή οποιαδήποτε ευαίσθητης πληροφορίας ή δεν εκτελούνται συναλλαγές. Λογικό.
Αυτό έρχονται να αλλάξουν οι πρόσφατες εκδόσεις του HTTPS και έπειτα το δημοφιλές πρωτόκολλο θα γίνει προσιτό σε όλους.
Τώρα, αν θέλεις να έχεις όσο το δυνατόν μεγαλύτερη ασφάλεια, η επέκταση (plug-in) HTTPS Everywhere για Chrome και Firefox φροντίζει να συνδέεσαι αποκλειστικά στις HTTPS εκδόσεις των ιστοσελίδων, μία λύση την οποία μπορείς να χρησιμοποιείς αν συνδέεσαι σε δημόσια Wi-Fi δίκτυα, όπου συνήθως υπάρχουν αρκετοί «καλοθελητές» …
Θα πεις, οκ, το HTTPS δεν μπορεί να είναι 100% απαραβίαστο ... Μάντεψε. Κανένα μέτρο ασφάλειας δεν είναι.
Αλλά τουλάχιστον καθιστά δυσκολότερη την παρακολούθηση των προσωπικών σου δεδομένων από τους χάκερ και όσους φιλοδοξούν να χρησιμοποιήσουν τα προσωπικά σου δεδομένα για προσωπικό τους όφελος, ένα εργαλείο ζωτικής σημασίας για την ασφαλή παραμονή σου στο Διαδίκτυο.
Τα μάτια στο «λουκετάκι» λοιπόν και καλό σερφάρισμα!
