Czas czytania: 2 minuty
SSL jest obecnie powszechnie używany do zabezpieczania komunikacji na stronach internetowych, które wysyłają poufne informacje do serwera internetowego, takie jak dane logowania lub dane finansowe. Rzeczywiście, jest to niezbędne w handlu elektronicznym. Kto podałby dane swojej karty kredytowej, gdyby wiedział, że mogą zostać przechwycone przez hakerów?
Stało się coraz bardziej oczywiste, że tylko zabezpieczenie takich stron przesyłania może być nieodpowiednie, a teraz pojawia się wezwanie do zabezpieczenia witryn internetowych „od końca do końca”, stosując SSL do każdej strony w witrynie. Jest to znane jako „Zawsze na SSL”.
Czy podejście „Zawsze na SSL” może zwiększyć bezpieczeństwo witryny? Absolutnie, a także może poprawić rankingi w wyszukiwarkach.
Niektóre z luk, którym można zapobiec, wdrażając Always-On SSL, obejmują przejmowanie sesji, side-jacking i tym podobne, ataki typu man-in-the-middle.
Badacze bezpieczeństwa wynaleźli dodatek do przeglądarki Mozilli o nazwie Firesheep, który niestety był bardzo przydatny hakerom w przeprowadzaniu przejmowania sesji. Atakujący używa Firesheep, aby łatwo przejąć sesje użytkowników przez otwarte połączenia Wi-Fi, na przykład w kafejce internetowej. Kiedy ktoś próbuje połączyć się ze znaną witryną, wykorzystuje protokoły sesji tej witryny, aby przejąć kontrolę, a haker podszywa się pod użytkownika. Może to pozwolić atakującemu na zmianę profilu użytkownika, w tym poświadczeń logowania.
Sidejacking to atak wykorzystujący użytkowników odwiedzających niezaszyfrowane strony HTTP po zalogowaniu się do witryny. Sidejacking jest możliwy, gdy witryna używa protokołu SSL tylko do ustanowienia pliku cookie sesji, a następnie powraca do protokołu HTTP/port 80. Umożliwia hakerom przechwytywanie plików cookie używanych do przechowywania informacji o użytkowniku, takich jak dane logowania, gdy są one przesyłane bez ochrony szyfrowania SSL .
Pliki cookie mogą zawierać wskaźnik, czy powinny być bezpieczne, czy nie. Kradzież plików cookie, które nie są oznaczone jako „bezpieczne”, może prowadzić do kradzieży tożsamości i oszustw finansowych.
Kolejne narzędzie bezpieczeństwa używane przez hakerów do włamywania się do sesji o nazwie „SSL Strip”. Został pierwotnie stworzony, aby zademonstrować, w jaki sposób atakujący może oszukać użytkowników, „usuwając” SSL z sesji użytkownika. Atakujący przygotowuje swoją maszynę do działania jako router w ataku typu „man in the middle” w sieci lokalnej z możliwością monitorowania całego ruchu i zmiany portów docelowych oraz przekazywania pakietów. Atakujący zmieni tablice routingu i sfałszuje komputer ofiary, informując go, że jego komputer jest lokalnym routerem/bramą.
Pasek SSL działający na maszynie atakującego jest wtedy w stanie kierować komunikację ofiary tak, jakby była routerem sieciowym. Jeśli użytkownik zwraca uwagę, może zauważyć, że adres URL zmienia się z „https” na „http”.
To jest dokładnie ten typ scenariusza, któremu zapobiegnie, zapewniając, że dane sesji są zabezpieczone przed hakerami. Jest to możliwe, ponieważ pierwszy krok w połączeniach, uzgadnianie SSL jest najmniej bezpieczne. SSL Strip wykorzystuje to przejście z http na https, wskakując do niego jeszcze przed nawiązaniem połączenia SSL.
Google rozpoznało znaczenie wszystkich stron korzystających z protokołu SSL. Teraz nagradzają strony zabezpieczone SSL wyższymi rankingami stron. Wiele znanych witryn internetowych, takich jak firmy Microsoft i Facebook, przyjęło opcję Always on SSL jako najlepszy sposób ochrony swoich witryn i użytkowników.
ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://blog.comodo.com/e-commerce/time-always-ssl/
- :ma
- :Jest
- :nie
- 80
- a
- zdolność
- Zdolny
- działać
- Dodatek
- adres
- Korzyść
- Po
- Wszystkie kategorie
- dopuszczać
- pozwala
- zawsze
- an
- i
- pozorny
- Stosowanie
- podejście
- SĄ
- AS
- At
- atakować
- Ataki
- Próby
- Uwaga
- z powrotem
- BE
- bo
- stają się
- być
- zanim
- BEST
- Blog
- przeglądarka
- biznesmen
- by
- wezwanie
- nazywa
- CAN
- karta
- zmiana
- Zmiany
- kliknij
- popełnić
- Komunikacja
- Komunikacja
- Wiadomości Comodo
- kompromis
- pojęcie
- Skontaktuj się
- połączenie
- połączenia
- Konsumenci
- zawierać
- cookies
- mógłby
- stworzony
- Listy uwierzytelniające
- kredyt
- Karta kredytowa
- cyber
- dane
- wykazać
- miejsce przeznaczenia
- e-commerce
- z łatwością
- objęty
- szyfrowanie
- silnik
- zapewnienie
- niezbędny
- zapewniają
- ustanowiony
- Parzyste
- wydarzenie
- Każdy
- dokładnie
- exploity
- budżetowy
- Oszustwo finansowe
- i terminów, a
- W razie zamówieenia projektu
- Naprzód
- oszustwo
- Darmowy
- od
- otrzymać
- Dać
- haker
- hakerzy
- Have
- Wysoki
- wyższy
- uprowadzać
- jego
- W jaki sposób
- http
- HTTPS
- tożsamość
- if
- wykonawczych
- znaczenie
- podnieść
- in
- zawierać
- Włącznie z
- coraz bardziej
- Wskaźnik
- Informacja
- natychmiastowy
- Internet
- Internet Security
- najnowszych
- Zmyślony
- IT
- jpg
- znany
- prowadzić
- najmniej
- miejscowy
- zalogowany
- Zaloguj Się
- maszyna
- robić
- wiele
- wyraźny
- Maksymalna szerokość
- Może..
- Microsoft
- Środkowy
- może
- monitor
- jeszcze
- Mozilla
- sieć
- aktualności
- Zauważyć..
- już dziś
- of
- on
- tylko
- koncepcja
- or
- pierwotnie
- koniec
- Pakiety
- strona
- zwracając
- plato
- Analiza danych Platona
- PlatoDane
- możliwy
- Przygotowuje
- zapobiec
- Profil
- chronić
- ochrona
- protokoły
- uznane
- Badacze
- zachować
- satysfakcjonujący
- Trasa
- Router
- Routing
- bieganie
- scenariusz
- karta z punktami
- Szukaj
- Wyszukiwarka
- bezpieczne
- zabezpieczone
- zabezpieczenia
- bezpieczeństwo
- wysłać
- wrażliwy
- Sesja
- Sesje
- powinien
- Podobnie
- witryna internetowa
- Witryny
- rozwiązanie
- Ktoś
- specyficzny
- SSL
- Ewolucja krok po kroku
- uległość
- taki
- Brać
- trwa
- że
- Połączenia
- kradzież
- ich
- następnie
- Tam.
- one
- to
- czas
- do
- już dziś
- także
- narzędzie
- ruch drogowy
- przejście
- rodzaj
- Niestety
- URL
- używany
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- początku.
- Luki w zabezpieczeniach
- była
- Droga..
- sieć
- serwer wWW
- Strona internetowa
- były
- jeśli chodzi o komunikację i motywację
- czy
- KIM
- Wi-Fi
- szeroko
- będzie
- w
- bez
- by
- dałbym
- Twój
- zefirnet