HTTPS и “открытые веб-страницы”
Спрашивают, зачем нужно использовать протокол HTTPS для веб-сайта, если последний не работает с конфиденциальной информацией (например, это не панель управления хостингом). Казалось бы – если на страницах нет ничего секретного, то зачем их шифровать? Такая типичная ошибка в восприятии HTTPS как протокола, нужного исключительно для шифрования (к сожалению, такая искажённая картина весьма распространена). Действительно, шифровать не обязательно, но HTTPS это не только и не столько шифрование, сколько контроль целостности. То есть, безопасный протокол защищает страницы от подмены.
Если у вас сайт банка, но “общие” страницы отдаются по HTTP, а не по HTTPS, это означает, что кто-то может легко подменить часть кода веб-страницы на пути к пользовательскому компьютеру (или заменить всю страницу). Такая подмена позволяет внести изменения в тексты на странице (скажем, сообщить об “отзыве” лицензии), при этом у пользователя нет никаких инструментов, позволяющих проверить, получает ли он информацию в неизменном виде.
HTTPS решает эти проблемы: изменить страницы на промежуточном узле простым способом не получится (что, естественно, не отменяет возможного перехвата HTTPS, но переводит задачу на принципиально иной уровень сложности). Конечно, всегда остаётся доступен старый способ: принудительная замена протокола на стороне пользователя, которая хорошо работает для ссылок (простая замена https:// на http://). Однако если пользователь привык заходить на сайт банка по браузерной закладке (типичный сценарий, кстати), попытка подмены протокола, – например, через редирект, – вызовет предупреждение в браузере (потому что для выполнения HTTP-редиректа тоже потребуется серверный SSL-сертификат, а его, скорее всего, у перехватывающего соединение узла нет).
И не стоит забывать о том, что уже есть поддерживаемые браузерами инструменты, позволяющие жёстко назначить HTTPS единственным протоколом для веб-сайта. Пример: HTTP Strict Transport Security.
Адрес записки: https://dxdt.ru/2014/11/18/7023/
Похожие записки:
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- Авария такси-робота в Калифорнии и новые риски
- Новые риски: автомобили-роботы в такси
- Симметрии и дискретное логарифмирование
- Скрытые сервисы и прокси
- RCE через ssh-agent
- Письмо про приостановку разработки ИИ
- STARTTLS и SMTP
- Трафик на тестовом сервере TLS 1.3 и ESNI
- TLS-сертификаты dxdt.ru
- Недокументированные возможности автомобильного ПО
Комментарии читателей блога: 3
1. 18th November 2014, 16:19 // Читатель Дмитрий Белявский написал:
Я хочу еще напомнить, что Google нынче ранжирует страницы, отданные по https, выше.
2. 18th November 2014, 19:22 // Читатель jno написал:
Как говорит великий и ужасный Колесников, теперь всё:
http://cctld.ru/ru/press_center/digest/detail.php?ID=6231
:)
3. 19th November 2014, 22:58 // Читатель jno написал:
Кстати
http://www.cs.bu.edu/~goldbe/papers/RPKImanip.html