HTTPS и “открытые веб-страницы”
Спрашивают, зачем нужно использовать протокол HTTPS для веб-сайта, если последний не работает с конфиденциальной информацией (например, это не панель управления хостингом). Казалось бы – если на страницах нет ничего секретного, то зачем их шифровать? Такая типичная ошибка в восприятии HTTPS как протокола, нужного исключительно для шифрования (к сожалению, такая искажённая картина весьма распространена). Действительно, шифровать не обязательно, но HTTPS это не только и не столько шифрование, сколько контроль целостности. То есть, безопасный протокол защищает страницы от подмены.
Если у вас сайт банка, но “общие” страницы отдаются по HTTP, а не по HTTPS, это означает, что кто-то может легко подменить часть кода веб-страницы на пути к пользовательскому компьютеру (или заменить всю страницу). Такая подмена позволяет внести изменения в тексты на странице (скажем, сообщить об “отзыве” лицензии), при этом у пользователя нет никаких инструментов, позволяющих проверить, получает ли он информацию в неизменном виде.
HTTPS решает эти проблемы: изменить страницы на промежуточном узле простым способом не получится (что, естественно, не отменяет возможного перехвата HTTPS, но переводит задачу на принципиально иной уровень сложности). Конечно, всегда остаётся доступен старый способ: принудительная замена протокола на стороне пользователя, которая хорошо работает для ссылок (простая замена https:// на http://). Однако если пользователь привык заходить на сайт банка по браузерной закладке (типичный сценарий, кстати), попытка подмены протокола, – например, через редирект, – вызовет предупреждение в браузере (потому что для выполнения HTTP-редиректа тоже потребуется серверный SSL-сертификат, а его, скорее всего, у перехватывающего соединение узла нет).
И не стоит забывать о том, что уже есть поддерживаемые браузерами инструменты, позволяющие жёстко назначить HTTPS единственным протоколом для веб-сайта. Пример: HTTP Strict Transport Security.
Адрес записки: https://dxdt.ru/2014/11/18/7023/
Похожие записки:
- Статья о технологии Encrypted Client Hello
- Централизация обновлений и CrowdStrike
- Реплика: преодоление air gap
- Наложенные сети Google и браузеры в будущем
- Сайт OpenSSL и сегментация интернетов
- Обновление темы dxdt.ru
- Ретроспектива заметок: ключ по фотографии
- Адреса DMARC rua в зоне cloudflare.com
- Радиомодуль в смартфоне и недокументированные возможности
- Как правильно "показать TLS-сертификат", рекомендации
- Элементарные числа в ML-KEM
Комментарии читателей блога: 3
1 <t> // 18th November 2014, 16:19 // Читатель Дмитрий Белявский написал:
Я хочу еще напомнить, что Google нынче ранжирует страницы, отданные по https, выше.
2 <t> // 18th November 2014, 19:22 // Читатель jno написал:
Как говорит великий и ужасный Колесников, теперь всё:
http://cctld.ru/ru/press_center/digest/detail.php?ID=6231
:)
3 <t> // 19th November 2014, 22:58 // Читатель jno написал:
Кстати
http://www.cs.bu.edu/~goldbe/papers/RPKImanip.html