HTTPS'de, bir URL'nin yanındaki asma kilitten çok daha fazlası vardır.
İnternet kullanımının yaygınlaşmasıyla birlikte kişisel bilgilerin ve hassas verilerin korunması önemli bir konu haline geldi. HTTPS (Hypertext Transfer Protocol Secure), internet üzerindeki iletişimin güvenliğini sağlayan bir protokol olarak ayrı bir önem taşımaktadır. İşte HTTPS'nin sağladığı güvenlik önlemleri ve internet kullanıcılarına sunduğu avantajlar.
HTTPS ve Katmanlı Güvenlik
HTTPS, tek parçadan oluşan basit bir yapı değildir. HTTPS bir sistem gibidir ve HTTPS'yi oluşturan çeşitli parçalar vardır. Birden fazla parçanın oluşturduğu sistemin belli bir düzen içinde hareket edebilmesi için o sistemi oluşturan parçaların da güvenli olması gerekir.
Günümüz dünyasında iletişim, güvenliğe en çok ihtiyaç duyulan odak noktasıdır. Bu dünyanın temeli TCP/IP protokolü üzerine kurulmuştur. Ancak güvenlik söz konusu olduğunda, TCP/IP protokol paketi yetersiz kalmaya başlamıştır.
Bu eksiklikler yeni protokollerle giderilmeye çalışılsa da, tüm sistemi etkileyebilecek temel bir sorun varlığını sürdürüyor. Örneğin HTTPS üzerinden çalışan bir uygulamanın güvenli sayılabilmesi için iyi bir yazılıma sahip olması şarttır. sistemi oluşturan katmanları anlamak ve bu katmanlarda bulunan güvenlik açıklarını değerlendirmek katmanlar.
HTTPS bağlantısının gerçekleşmesi için dört ek protokol devreye girer. Bunlar SSL/TLS, TCP, IP ve ARP katmanlarıdır. Şimdilik, nasıl çalıştıklarını görmezden gelebilirsiniz. Odaklanmanız gereken şey, HTTPS ne kadar güvenli olursa olsun, diğer protokollerdeki bir güvenlik açığının HTTPS'yi etkileyeceğidir. Peki bu durumda HTTPS güvensiz mi?
HTTPS Aslında Güvenli mi?
Bankalar, online alışveriş siteleri ve çeşitli kurumlar genellikle 128 bit şifreleme yöntemleri kullanır. 128 bit şifreleme günümüz standartlarında güvenilir olsa da bu yöntem tek başına yeterli değildir. Şifrelemenin yanı sıra diğer altyapıların da güvenli olması gerekir.
SSL'nin karşılaştığı ilk ve en önemli saldırı türü Ortadaki Adam saldırılarıdır. MITM tipi saldırılarda saldırgan, trafiği dinlemeyi ve manipüle etmeyi amaçlayarak kendisini kurban istemci ile sunucu arasına yerleştirir.
HTTP bağlantılarında MITM'e müdahale eden saldırgan sahte bir sertifika oluşturur, sertifika geçerli bir CA tarafından imzalanmadığından kullanıcının tarayıcısında bir hata oluşturur. Geçmişte, tarayıcı uyarılarını kolayca atlatmak mümkündü. Ancak günümüzde tarayıcıların verdiği SSL uyumsuzluk uyarıları gerçekten göz korkutuyor.
Bunun en bariz örneği, modern tarayıcıların, giriş yapmak istediğiniz sitenin SSL sertifikası uyumsuzluğu nedeniyle güvensiz olabileceğine dair uyarılarıdır. Bu uyarılar çoğu zaman siteye giriş yapan bilinçli kullanıcıların siteden ayrılmasına neden olmaktadır.
HTTPS'yi kullanıcı için güvensiz hale getirebilecek başka güvenlik açıkları var mı?
SSL ve HTTP Arasındaki İlişki
Web sitelerinin büyük çoğunluğu güvenlik amacıyla SSL (HTTPS) kullanın. Ancak günümüzde, SSL'li çoğu sistem HTTP ve HTTPS'yi birlikte kullanır. Bir web sayfasına önce HTTP üzerinden erişirsiniz. Bundan sonra HTTPS, hassas bilgiler içerecek bağlantılar üzerinde çalışır.
Şirketler sadece HTTPS kullanmazlar. Bunun nedeni, SSL'nin sunucu tarafında ek kapasite gerektirmesidir. Ayrıca oturum bilgilerinin HTTP'de çoğunlukla çerezler üzerinden taşındığını varsayarsanız ve sunucu tarafındaki geliştiriciler eklemediyse Çerezlere güvenli özellik, trafiği dinleyebilen biri, hesaba ihtiyaç duymadan çerezler aracılığıyla sizin adınıza sistemlere erişebilir. bilgi.
Çerezlerin güvenli özelliği, çerezlerin yalnızca güvenli bir bağlantı üzerinden aktarılmasına yardımcı olur. Bu nedenle özellikle sunucu tarafında geliştirme yapanların dikkat etmesi gereken bir konudur.
Nasıl Korunabilirsiniz?
Bir web sitesine girdiğinizde, URL'yi kontrol ettiğinizden emin olun. Girdiğiniz URL'nin HTTPS ile başladığını görmeniz yeterli olmayacaktır. Aynı zamanda herkes kendi SSL sertifikasını yazabilir. Ayrıca sitenin kullandığı SSL sertifikasını da kontrol etmelisiniz. Sertifika hakkında daha fazlasını keşfetmek için imlecinizi adres çubuğundaki kilit simgesine getirin ve tıklayın.
Ayrıca, kişisel ve banka bilgilerinizi web sitelerine verirken her zaman şüpheci olun. Hiç kimse geri dönüşü olmayan sonuçlarla yüzleşmek istemez. En son yazılımınızı güncel tuttuğunuzdan emin olun ve her zaman kendinizi siber güvenlik farkındalığı konusunda eğitmeye devam edin.
