Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
HTTPS и “открытые веб-страницы”
Спрашивают, зачем нужно использовать протокол HTTPS для веб-сайта, если последний не работает с конфиденциальной информацией (например, это не панель управления хостингом). Казалось бы – если на страницах нет ничего секретного, то зачем их шифровать? Такая типичная ошибка в восприятии HTTPS как протокола, нужного исключительно для шифрования (к сожалению, такая искажённая картина весьма распространена). Действительно, шифровать не обязательно, но HTTPS это не только и не столько шифрование, сколько контроль целостности. То есть, безопасный протокол защищает страницы от подмены.
Если у вас сайт банка, но “общие” страницы отдаются по HTTP, а не по HTTPS, это означает, что кто-то может легко подменить часть кода веб-страницы на пути к пользовательскому компьютеру (или заменить всю страницу). Такая подмена позволяет внести изменения в тексты на странице (скажем, сообщить об “отзыве” лицензии), при этом у пользователя нет никаких инструментов, позволяющих проверить, получает ли он информацию в неизменном виде.
HTTPS решает эти проблемы: изменить страницы на промежуточном узле простым способом не получится (что, естественно, не отменяет возможного перехвата HTTPS, но переводит задачу на принципиально иной уровень сложности). Конечно, всегда остаётся доступен старый способ: принудительная замена протокола на стороне пользователя, которая хорошо работает для ссылок (простая замена https:// на http://). Однако если пользователь привык заходить на сайт банка по браузерной закладке (типичный сценарий, кстати), попытка подмены протокола, – например, через редирект, – вызовет предупреждение в браузере (потому что для выполнения HTTP-редиректа тоже потребуется серверный SSL-сертификат, а его, скорее всего, у перехватывающего соединение узла нет).
И не стоит забывать о том, что уже есть поддерживаемые браузерами инструменты, позволяющие жёстко назначить HTTPS единственным протоколом для веб-сайта. Пример: HTTP Strict Transport Security.
Адрес записки: https://dxdt.ru/2014/11/18/7023/
Похожие записки:
- Элементарные числа в ML-KEM
- ИИ-корпорация SSI и исправление кода веб-страниц
- Постквантовая "гибридизация" криптосистем и перспективы стойкости
- "Внешний ИИ" масштаба Apple
- Кибератаки, самоуправляемые автомобили и бот в смартфоне
- Рассылка SMS и распределённые сети под управлением Telegram
- Kyber768 и длина сообщений TLS
- Техническое: экзотические настройки в SPF
- Домены верхнего уровня, реестры и администраторы
- Геопривязка в персональных цифровых финансах
- Внешние библиотеки на сайтах и замена кода
Комментарии читателей блога: 3
1 <t> // 18th November 2014, 16:19 // Читатель Дмитрий Белявский написал:
Я хочу еще напомнить, что Google нынче ранжирует страницы, отданные по https, выше.
2 <t> // 18th November 2014, 19:22 // Читатель jno написал:
Как говорит великий и ужасный Колесников, теперь всё:
http://cctld.ru/ru/press_center/digest/detail.php?ID=6231
:)
3 <t> // 19th November 2014, 22:58 // Читатель jno написал:
Кстати
http://www.cs.bu.edu/~goldbe/papers/RPKImanip.html