Lesetid: 2 minutter
SSL er mye brukt i dag for å sikre kommunikasjon på nettsider som sender sensitiv informasjon til en webserver, for eksempel påloggingsinformasjon eller Økonomiske data. Det er faktisk viktig for e-handel. Hvem ville gitt kredittkortdataene deres hvis de visste at de kunne bli fanget opp av hackere?
Det har blitt stadig tydeligere at bare sikring av slike innsendingssider kan være utilstrekkelig, og det er nå en oppfordring om at nettsider skal sikres «End to End», og bruker SSL på hver side på nettstedet. Dette er kjent som "Alltid på SSL".
Kan «Always on SSL»-tilnærmingen gjøre et nettsted sikrere? Absolutt, og det kan også forbedre søkemotorrangeringer.
Noen av sårbarhetene som kan forhindres ved å implementere Always-On SSL inkluderer øktkapring, sidejacking og lignende, mann-i-midten angrep.
Sikkerhetsforskere oppfant et Mozilla-nettlesertillegg kalt Firesheep som dessverre har vært veldig nyttig for hackere for å begå øktkapring. Angriperen bruker Firesheep til å enkelt kapre brukerøkter over åpne Wi-Fi-tilkoblinger, for eksempel på en nettkafé. Når noen prøver å koble seg til et kjent nettsted, bruker det nettstedets øktprotokoller for å ta over, og hackeren utgir seg for å være brukeren. Dette kan tillate angriperen å endre brukerens profil inkludert påloggingsinformasjonen.
Sidejacking er et angrep som utnytter forbrukere som besøker ukrypterte HTTP-nettsider etter at de har logget på et nettsted. Sidejacking er mulig når nettstedet bruker SSL kun for å etablere øktinformasjonskapselen, og deretter går tilbake til HTTP/port 80. Det lar hackere fange opp informasjonskapsler som brukes til å beholde brukerspesifikk informasjon, for eksempel påloggingsinformasjon når de overføres uten beskyttelse av SSL-kryptering .
Informasjonskapsler kan inneholde en indikator på om den skal være sikker eller ikke. Tyveri av informasjonskapsler som ikke er merket som "sikker" kan føre til identitetstyveri og økonomisk svindel.
Et annet sikkerhetsverktøy som brukes av hackere for å kompromittere økter kalt "SSL Strip". Den ble opprinnelig laget for å demonstrere hvordan en angriper kan lure brukere ved å "strippe" SSL fra brukerens økt. Angriperen forbereder maskinen sin til å fungere som en ruter i et "mann i midten angrep" på det lokale nettverket med muligheten til å overvåke all trafikk og endre destinasjonsporter og videresende pakker. Angriperen vil endre rutetabeller og arp-spoof offerets maskin ved å fortelle den at maskinen hans er den lokale ruteren/gatewayen.
SSL Strip som kjører på angriperens maskin kan da rute offerets kommunikasjon som om det var nettverksruteren. Hvis brukeren er oppmerksom, kan de legge merke til at url-adressen endres fra "https" til "http".
Dette er akkurat den typen scenario som vil forhindre, og sikrer at øktdataene er sikre fra hackere. Det er mulig fordi det første trinnet i forbindelsene, SSL-håndtrykket, er det minst sikre. SSL Strip utnytter denne overgangen fra http til https ved å hoppe inn selv før SSL-forbindelsen er etablert.
Google har erkjent viktigheten av at alle sider bruker SSL. De belønner nå sider sikret med SSL med høyere siderangeringer. Mange høyprofilerte nettsider, som for Microsoft og Facebook, har omfavnet Always on SSL som den beste måten å beskytte nettstedene og brukerne sine på.
START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://blog.comodo.com/e-commerce/time-always-ssl/
- : har
- :er
- :ikke
- 80
- a
- evne
- I stand
- Handling
- Tillegg
- adresse
- Fordel
- Etter
- Alle
- tillate
- tillater
- alltid
- an
- og
- tilsynelatende
- påføring
- tilnærming
- ER
- AS
- At
- angripe
- Angrep
- forsøk
- oppmerksomhet
- tilbake
- BE
- fordi
- bli
- vært
- før du
- BEST
- Blogg
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- forretningsmann
- by
- ring
- som heter
- CAN
- kort
- endring
- Endringer
- klikk
- forplikte
- Kommunikasjon
- kommunikasjon
- Comodo Nyheter
- kompromiss
- konsept
- Koble
- tilkobling
- Tilkoblinger
- Forbrukere
- inneholde
- cookies
- kunne
- opprettet
- Credentials
- kreditt
- kredittkort
- cyber
- dato
- demonstrere
- destinasjonen
- e-handel
- lett
- omfavnet
- kryptering
- Motor
- sikrer
- avgjørende
- etablere
- etablert
- Selv
- Event
- Hver
- nøyaktig
- exploits
- finansiell
- økonomisk svindel
- Først
- Til
- Forward
- svindel
- Gratis
- fra
- få
- Gi
- hacker
- hackere
- Ha
- Høy
- høyere
- kapre
- hans
- Hvordan
- http
- HTTPS
- Identitet
- if
- implementere
- betydning
- forbedre
- in
- inkludere
- Inkludert
- stadig
- Indikator
- informasjon
- instant
- Internet
- Internet Security
- inn
- Oppfunnet
- IT
- jpg
- kjent
- føre
- minst
- lokal
- logget
- Logg inn
- maskin
- gjøre
- mange
- merket
- max bredde
- Kan..
- Microsoft
- Middle
- kunne
- Overvåke
- mer
- Mozilla
- nettverk
- nyheter
- Legge merke til..
- nå
- of
- on
- bare
- åpen
- or
- opprinnelig
- enn
- pakker
- side
- betalende
- plato
- Platon Data Intelligence
- PlatonData
- mulig
- forbereder
- forebygge
- Profil
- beskytte
- beskyttelse
- protokoller
- gjenkjent
- forskere
- beholde
- givende
- Rute
- router
- ruting
- rennende
- scenario
- poengkort
- Søk
- søkemotor
- sikre
- sikret
- sikring
- sikkerhet
- send
- sensitive
- Session
- sesjoner
- bør
- på samme måte
- nettstedet
- Nettsteder
- løsning
- Noen
- spesifikk
- SSL
- Trinn
- innsending
- slik
- Ta
- tar
- Det
- De
- tyveri
- deres
- deretter
- Der.
- de
- denne
- tid
- til
- i dag
- også
- verktøy
- trafikk
- overgang
- typen
- dessverre
- URL
- brukt
- Bruker
- Brukere
- bruker
- ved hjelp av
- veldig
- Sikkerhetsproblemer
- var
- Vei..
- web
- webserveren
- Nettsted
- var
- når
- om
- HVEM
- Wi-fi
- allment
- vil
- med
- uten
- ville
- ville gitt
- Din
- zephyrnet